AeR Ransomware

Ang AeR ay isang nagbabantang programa na madiskarteng ginawa upang i-encrypt ang mga file sa mga nakompromisong device, na humihingi ng mga pagbabayad ng ransom para sa kanilang pag-decryption. Ang pagkatuklas ng AeR ransomware ay naganap sa panahon ng masusing pagsusuri na isinagawa ng mga mananaliksik sa seguridad ng impormasyon habang sinisiyasat ang mga potensyal na banta ng malware.

Sa pag-activate sa loob ng mga nakompromisong device, sinisimulan ng AeR ang proseso ng pag-encrypt, na nagta-target ng magkakaibang hanay ng mga uri ng file at binabago ang kanilang mga orihinal na filename. Ang mga unang pamagat ng mga file ay sumasailalim sa pagbabago, kasama ang pagdaragdag ng isang natatanging ID na itinalaga sa biktima, ang email address na pagmamay-ari ng mga cybercriminal, at ang extension na '.AeR'. Upang ilarawan, ang isang file na orihinal na may label na '1.doc' ay gagawing '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Kasunod ng proseso ng pag-encrypt, ang AeR Ransomware ay bumubuo ng dalawang natatanging ransom notes. Ang mga text file na pinangalanang 'info.txt' ay madiskarteng inilagay sa desktop at sa loob ng mga apektadong direktoryo. Kasabay nito, kitang-kitang ipinapakita ang isang mensaheng humihingi ng ransom sa isang pop-up window. Kapansin-pansin na ang AeR Ransomware ay inuri bilang bahagi ng pamilya ng Dharma ng mga banta ng malware, na nagpapahiwatig ng kaugnayan nito sa isang partikular na linya ng nagbabantang software.

Ina-hostage ng AeR Ransomware ang mga File at Humihingi ng Ransom

Ang ransom notes na nabuo ng AeR Ransomware ay inihahatid sa dalawang magkaibang format. Habang ang text file na pinangalanang 'info.txt' ay mahalagang hinihimok ang biktima na makipag-ugnayan sa mga cybercriminal na responsable sa pag-atake, ang kasamang pop-up window ay nagbibigay ng mas detalyadong impormasyon tungkol sa sitwasyon. Sa pop-up, ipinaalam sa biktima na ang kanilang mga file ay sumailalim sa pag-encrypt.

Ang mensahe ng ransom sa pop-up window ay may kasamang mga kasiguruhan na ang pagbawi ng data ay magagawa. Gayunpaman, ito ay nagpapahiwatig na ang proseso ng pag-decryption ay nakasalalay sa pagbabayad ng isang ransom sa Bitcoin cryptocurrency. Bilang karagdagan, ang biktima ay inaalok ng isang limitadong pagkakataon upang subukan ang proseso ng pag-decryption para sa hanggang sa tatlong mga file, na napapailalim sa partikular na pamantayan. Ang mensahe ay nagtatapos sa tahasang mga babala tungkol sa mga kahihinatnan ng hindi pagsunod.

Ang AeR Ransomware ay kinilala bilang bahagi ng Dharma malware group, na nagsasaad ng kaugnayan nito sa isang partikular na linya ng malisyosong software. Ang mga programa sa loob ng pangkat na ito ay nagpapakita ng kakayahang baguhin o i-encrypt ang parehong mga file na lokal at nakabahagi sa network. Kapansin-pansin, ang Dharma Ransomware ay gumagamit ng isang diskarte sa pagwawakas ng mga prosesong naka-link sa mga bukas na file, tulad ng mga text file reader o mga programa sa database. Tinutulungan ng diskarteng ito ang ransomware na maiwasan ang mga exemption mula sa pag-encrypt na maaaring mangyari dahil sa nilalamang itinuturing na 'ginagamit.'

Awtomatikong ibinubukod ang ilang partikular na data sa proseso ng pag-encrypt upang maiwasan ang mga potensyal na isyu sa pagpapatakbo, gaya ng mga file ng system, na, kung naka-encrypt, ay maaaring maging hindi gumagana ang device. Bilang karagdagan, ang mga file na naka-lock na ng iba pang ransomware ay hindi kasama sa pag-encrypt batay sa isang paunang natukoy na listahan ng malware. Gayunpaman, ang mekanismong ito ay hindi walang kamali-mali, dahil hindi ito sumasaklaw sa lahat ng posibleng ransomware-type na programa, na nag-iiwan ng mga potensyal na kahinaan sa proseso ng pagbubukod.

Ang Mga Variant ng Dharma Ransomware ay Nagtatatag ng Mga Mekanismo ng Pagtitiyaga

Gumagamit ang Dharma software ng iba't ibang pamamaraan upang matiyak ang pananatili nito sa mga nakompromisong system. Kasama sa isang paraan ang pagkopya ng malware sa %LOCALAPPDATA% path at pagrehistro nito gamit ang mga partikular na Run key, na nagpapagana ng awtomatikong pagpapatupad sa bawat pag-restart ng system. Upang higit pang hadlangan ang mga pagsusumikap sa pagbawi, ginagawa ng ransomware ang proactive na hakbang ng pagtanggal ng Shadow Volume Copies.

Bilang karagdagan sa mga hakbang na ito sa pagtitiyaga, ang mga programa ng Dharma ay nagpapakita ng antas ng pagiging sopistikado sa pamamagitan ng pagsasaalang-alang sa geolocation ng mga biktima. Binibigyang-daan sila ng functionality na ito na maiangkop ang kanilang mga pag-atake, na iniiwasan ang mga rehiyong may mga hamon sa ekonomiya kung saan ang mga user sa bahay ay maaaring mas malamang na hindi kayang bayaran ang mga pagbabayad ng ransom. Ang malware ay maaari ding pumili ng mga target batay sa geopolitical na mga pagsasaalang-alang.

Batay sa malawak na pagsusuri at pagsasaliksik ng maraming impeksyon sa ransomware, nagiging maliwanag na ang pag-decryption nang walang paglahok ng mga umaatake ay karaniwang isang hindi malulutas na hamon. Kahit na sa mga kaso kung saan ang mga biktima ay nagpasyang magbayad ng ransom, walang garantiya na matanggap ang mga kinakailangang decryption key o software. Bilang resulta, mahigpit na ipinapayo laban sa pagsuko sa mga hinihingi ng ransom, dahil ang mga naturang aksyon ay hindi lamang nabigo upang matiyak ang pagbawi ng file ngunit nakakatulong din sa pagpapatuloy ng mga ilegal na aktibidad.

Habang ang pag-alis ng AeR Ransomware mula sa system ay mahalaga upang maiwasan ang karagdagang pag-encrypt ng data, mahalagang tandaan na ang prosesong ito lamang ay hindi magbabalik ng mga file na nakompromiso na. Ang pangunahing solusyon ay nakasalalay sa pagbawi ng mga file mula sa isang secure na backup, ipagpalagay na ang isa ay magagamit. Binibigyang-diin nito ang kahalagahan ng pagpapanatili ng regular at maaasahang mga kasanayan sa pag-backup bilang isang mahalagang bahagi ng isang epektibong diskarte sa cybersecurity.

Ang ransom note na ipinapakita ng AeR bilang isang pop-up window ay:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Paano makakuha ng Bitcoins
Ang pinakamadaling paraan upang bumili ng bitcoins ay LocalBitcoins site. Kailangan mong magparehistro, i-click ang 'Buy bitcoins', at piliin ang nagbebenta sa pamamagitan ng paraan ng pagbabayad at presyo.
hxxps://localbitcoins.com/buy_bitcoins
Maaari ka ring makahanap ng iba pang mga lugar upang bumili ng Bitcoins at gabay sa mga nagsisimula dito:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Pansin!
Huwag palitan ang pangalan ng mga naka-encrypt na file.
Huwag subukang i-decrypt ang iyong data gamit ang software ng third party, maaari itong magdulot ng permanenteng pagkawala ng data.
Ang pag-decryption ng iyong mga file sa tulong ng mga third party ay maaaring magdulot ng pagtaas ng presyo (idinadagdag nila ang kanilang bayad sa amin) o maaari kang maging biktima ng isang scam.

Ang mga text file na nabuo ng pagbabanta ay naglalaman ng sumusunod na mensahe:

Gusto mong bumalik?

sumulat ng email aerossh@nerdmail.co o aerossh@cock.li o aerossh@proton.me'