AeR Ransomware

AeR, güvenliği ihlal edilmiş cihazlardaki dosyaları şifrelemek için stratejik olarak hazırlanmış, şifrenin çözülmesi için fidye ödemesi talep eden tehdit edici bir programdır. AeR fidye yazılımının keşfi, bilgi güvenliği araştırmacılarının potansiyel kötü amaçlı yazılım tehditlerini araştırırken gerçekleştirdiği kapsamlı analizler sırasında gerçekleşti.

AeR, ele geçirilen cihazlarda etkinleştirmenin ardından, çeşitli dosya türlerini hedefleyerek ve bunların orijinal dosya adlarını değiştirerek şifreleme işlemini başlatır. Dosyaların ilk başlıkları, kurbana atanan benzersiz bir kimlik, siber suçlulara ait e-posta adresi ve '.AeR' uzantısının eklenmesiyle bir dönüşüme uğruyor. Örnek olarak, orijinal olarak '1.doc' olarak etiketlenen bir dosya '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR'ye dönüştürülecektir.

Şifreleme işleminin ardından AeR Ransomware iki farklı fidye notu oluşturur. 'info.txt' adlı metin dosyaları stratejik olarak masaüstüne ve etkilenen dizinlere yerleştirilir. Eş zamanlı olarak, fidye talep eden bir mesaj, açılır bir pencerede belirgin bir şekilde görüntülenir. AeR Ransomware'in Dharma kötü amaçlı yazılım tehditleri ailesinin bir parçası olarak sınıflandırılması dikkat çekicidir; bu da onun belirli bir tehdit edici yazılım türüyle ilişkisini gösterir.

AeR Fidye Yazılımı Dosyaları Rehin Alıyor ve Fidye İstiyor

AeR Ransomware tarafından oluşturulan fidye notları iki farklı formatta teslim edilir. 'info.txt' isimli metin dosyası esasen mağduru saldırıdan sorumlu siber suçlularla iletişime geçmeye teşvik ederken, beraberindeki açılır pencere ise durum hakkında daha detaylı bilgi sağlıyor. Açılan pencerede kurbana dosyalarının şifrelendiği bilgisi veriliyor.

Açılır penceredeki fidye mesajı, veri kurtarmanın mümkün olduğuna dair güvenceler içerir. Yine de şifre çözme sürecinin Bitcoin kripto para birimi cinsinden fidye ödenmesine bağlı olduğu anlamına geliyor. Ayrıca kurbana, belirli kriterlere tabi olarak en fazla üç dosyanın şifre çözme sürecini test etmesi için sınırlı bir fırsat sunuluyor. Mesaj, uyumsuzluğun sonuçlarına ilişkin açık uyarılarla sona ermektedir.

AeR Ransomware, Dharma kötü amaçlı yazılım grubunun bir parçası olarak tanımlanıyor ve bu da onun belirli bir kötü amaçlı yazılım türüyle ilişkisini gösteriyor. Bu gruptaki programlar hem yerel hem de ağda paylaşılan dosyaları değiştirme veya şifreleme becerisine sahiptir. Özellikle Dharma Ransomware, metin dosyası okuyucuları veya veritabanı programları gibi açık dosyalarla bağlantılı süreçleri sonlandırma stratejisini kullanıyor. Bu yaklaşım, fidye yazılımının, içeriğin 'kullanımda' olarak değerlendirilmesi nedeniyle oluşabilecek şifreleme muafiyetlerinden kaçınmasına yardımcı olur.

Şifrelenmesi durumunda cihazı çalışmaz hale getirebilecek sistem dosyaları gibi olası operasyonel sorunları önlemek için belirli veriler otomatik olarak şifreleme sürecinin dışında bırakılır. Ayrıca, halihazırda başka fidye yazılımları tarafından kilitlenmiş olan dosyalar, önceden belirlenmiş bir kötü amaçlı yazılım listesine göre şifrelemeden muaf tutulur. Ancak bu mekanizma kusursuz değildir, çünkü olası tüm fidye yazılımı türü programları kapsamaz ve hariç tutma sürecinde potansiyel güvenlik açıkları bırakır.

Dharma Fidye Yazılımı Varyantları Kalıcılık Mekanizmaları Kuruyor

Dharma yazılımı, güvenliği ihlal edilmiş sistemlerde kalıcılığını sağlamak için çeşitli teknikler kullanır. Yöntemlerden biri, kötü amaçlı yazılımın %LOCALAPPDATA% yoluna kopyalanmasını ve belirli Çalıştırma anahtarlarına kaydedilmesini, böylece her sistem yeniden başlatıldığında otomatik yürütmeyi etkinleştirmeyi içerir. Kurtarma çabalarını daha da engellemek için fidye yazılımı, Gölge Birim Kopyalarını silmek gibi proaktif bir adım atar.

Bu kalıcılık önlemlerine ek olarak, Dharma programları mağdurların coğrafi konumunu dikkate alarak bir düzeyde karmaşıklık sergiliyor. Bu işlevsellik, ev kullanıcılarının fidye ödemesi olasılığının daha düşük olabileceği ekonomik zorlukların olduğu bölgelerden kaçınarak saldırılarını uyarlamalarına olanak tanıyor. Kötü amaçlı yazılım ayrıca jeopolitik hususlara göre hedefleri seçebilir.

Çok sayıda fidye yazılımı enfeksiyonunun kapsamlı analizi ve araştırmasına dayanarak, saldırganların katılımı olmadan şifre çözmenin genellikle aşılmaz bir zorluk olduğu ortaya çıkıyor. Kurbanların fidyeyi ödemeyi tercih ettiği durumlarda bile gerekli şifre çözme anahtarlarının veya yazılımın alınacağına dair bir garanti yoktur. Sonuç olarak, fidye taleplerine boyun eğmemeniz şiddetle tavsiye edilir; çünkü bu tür eylemler yalnızca dosya kurtarmayı sağlamakta başarısız olmakla kalmaz, aynı zamanda yasa dışı faaliyetlerin sürdürülmesine de katkıda bulunur.

AeR Ransomware'in sistemden kaldırılması daha fazla veri şifrelemesini önlemek için çok önemli olsa da, bu işlemin tek başına zaten güvenliği ihlal edilmiş dosyaları geri yüklemeyeceğini unutmamak önemlidir. Birincil çözüm, dosyaların mevcut olduğu varsayılarak güvenli bir yedekten kurtarılmasında yatmaktadır. Bu, etkili bir siber güvenlik stratejisinin ayrılmaz bir bileşeni olarak düzenli ve güvenilir yedekleme uygulamalarını sürdürmenin önemini vurgulamaktadır.

AeR'nin açılır pencere olarak gösterdiği fidye notu:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Bitcoin nasıl elde edilir
Bitcoin satın almanın en kolay yolu LocalBitcoins sitesidir. Kayıt olmanız, 'Bitcoin satın al' seçeneğini tıklamanız ve ödeme yöntemi ve fiyatına göre satıcıyı seçmeniz gerekir.
hxxps://localbitcoins.com/buy_bitcoins
Ayrıca Bitcoin satın alabileceğiniz diğer yerleri ve yeni başlayanlar kılavuzunu burada bulabilirsiniz:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dikkat!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımlar kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Dosyalarınızın üçüncü şahısların yardımıyla şifresinin çözülmesi, fiyatların artmasına neden olabilir (ücretlerini bizim ücretimize eklerler) veya bir dolandırıcılığın kurbanı olabilirsiniz.

Tehdidin oluşturduğu metin dosyaları aşağıdaki mesajı içeriyor:

Geri dönmek mi istiyorsun?

aerossh@nerdmail.co veya aerossh@cock.li veya aerossh@proton.me'ye e-posta yazın'