AeR Ransomware

AeR — це загрозлива програма, стратегічно створена для шифрування файлів на зламаних пристроях і вимагає викупу за їх розшифровку. Виявлення програми-вимагача AeR сталося під час ретельного аналізу, проведеного дослідниками інформаційної безпеки під час дослідження потенційних загроз зловмисного програмного забезпечення.

Після активації на скомпрометованих пристроях AeR ініціює процес шифрування, націлюючись на різноманітні типи файлів і змінюючи їхні оригінальні імена файлів. Початкові назви файлів піддаються трансформації з додаванням унікального ідентифікатора, призначеного жертві, адреси електронної пошти, що належить кіберзлочинцям, і розширення «.AeR». Для ілюстрації: файл, спочатку позначений як "1.doc", буде перетворено на "1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR".

Після процесу шифрування програма-вимагач AeR генерує дві окремі нотатки про викуп. Текстові файли з назвою "info.txt" стратегічно розміщуються на робочому столі та в уражених каталогах. Одночасно у спливаючому вікні помітно відображається повідомлення з вимогою викупу. Слід зазначити, що програмне забезпечення-вимагач AeR класифікується як частина сімейства шкідливих програм Dharma , що вказує на його зв’язок із певною лінією загрозливого програмного забезпечення.

Програма-вимагач AeR бере файли в заручники та вимагає викуп

Записки про викуп, створені AeR Ransomware, доставляються у двох різних форматах. Хоча текстовий файл під назвою «info.txt» по суті закликає жертву встановити контакт із кіберзлочинцями, відповідальними за атаку, супровідне спливаюче вікно надає більш детальну інформацію про ситуацію. У спливаючому вікні жертва повідомляє, що її файли пройшли шифрування.

Повідомлення про викуп у спливаючому вікні містить запевнення, що відновлення даних можливо. Тим не менш, це означає, що процес дешифрування залежить від виплати викупу в криптовалюті Bitcoin. Крім того, жертві пропонується обмежена можливість перевірити процес дешифрування максимум трьох файлів за певних критеріїв. Повідомлення завершується явними попередженнями щодо наслідків недотримання.

Програмне забезпечення-вимагач AeR ідентифіковано як частину групи зловмисних програм Dharma, що вказує на його зв’язок із певною лінією шкідливого програмного забезпечення. Програми в цій групі демонструють здатність змінювати або шифрувати як локальні, так і спільні файли в мережі. Зокрема, програмне забезпечення-вимагач Dharma використовує стратегію припинення процесів, пов’язаних із відкритими файлами, такими як програми для читання текстових файлів або програми баз даних. Цей підхід допомагає програмам-вимагачам уникнути винятків із шифрування, які можуть виникнути через те, що вміст вважається «використовуваним».

Певні дані автоматично виключаються з процесу шифрування, щоб запобігти потенційним проблемам з роботою, наприклад системні файли, які, якщо їх зашифрувати, можуть призвести до непрацездатності пристрою. Крім того, файли, уже заблоковані іншими програмами-вимагачами, звільняються від шифрування на основі попередньо визначеного списку шкідливих програм. Однак цей механізм не є бездоганним, оскільки він не охоплює всі можливі програми-вимагачі, залишаючи потенційні вразливості в процесі виключення.

Варіанти програм-вимагачів Dharma створюють механізми стійкості

Програмне забезпечення Dharma використовує різні методи, щоб забезпечити його стійкість у скомпрометованих системах. Один із методів передбачає копіювання зловмисного програмного забезпечення до шляху %LOCALAPPDATA% і реєстрацію його за допомогою певних ключів запуску, що забезпечує автоматичне виконання після кожного перезапуску системи. Щоб перешкодити спробам відновлення, програмне забезпечення-вимагач вживає профілактичних заходів, видаляючи тіньові копії томів.

На додаток до цих заходів наполегливості, програми Дхарми демонструють певний рівень складності, враховуючи геолокацію жертв. Ця функція дозволяє їм адаптувати свої атаки, уникаючи регіонів з економічними труднощами, де домашні користувачі з меншою ймовірністю дозволять собі платити викуп. Зловмисне програмне забезпечення також може вибирати цілі на основі геополітичних міркувань.

Грунтуючись на ретельному аналізі та дослідженні численних заражень програмами-вимагачами, стає очевидним, що розшифровка без участі зловмисників зазвичай є непереборною проблемою. Навіть у випадках, коли жертви вирішують заплатити викуп, немає гарантії отримання необхідних ключів розшифровки чи програмного забезпечення. Тому настійно не рекомендується піддаватися вимогам викупу, оскільки такі дії не тільки не забезпечують відновлення файлів, але й сприяють продовженню незаконної діяльності.

Хоча видалення програми-вимагача AeR із системи має вирішальне значення для запобігання подальшому шифруванню даних, важливо зазначити, що сам по собі цей процес не відновить вже зламані файли. Основне рішення полягає у відновленні файлів із безпечної резервної копії, якщо така є. Це підкреслює важливість підтримки регулярних і надійних процедур резервного копіювання як невід’ємного компонента ефективної стратегії кібербезпеки.

Записка про викуп AeR, яка відображається у спливаючому вікні:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Як отримати біткоіни
Найпростіший спосіб купити біткоіни - сайт LocalBitcoins. Вам необхідно зареєструватися, натиснути «Купити біткоіни» та вибрати продавця за способом оплати та ціною.
hxxps://localbitcoins.com/buy_bitcoins
Також ви можете знайти інші місця для покупки біткойнів і посібник для початківців тут:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Увага!
Не перейменовуйте зашифровані файли.
Не намагайтеся розшифрувати свої дані за допомогою стороннього програмного забезпечення, це може призвести до остаточної втрати даних.
Розшифровка ваших файлів за допомогою третіх осіб може призвести до підвищення ціни (вони додають свою комісію до нашої), або ви можете стати жертвою шахраїв.

Текстові файли, створені загрозою, містять таке повідомлення:

Ви хочете повернутися?

напишіть електронною поштою aerossh@nerdmail.co або aerossh@cock.li або aerossh@proton.me'