AeR Ransomware

AeR là một chương trình đe dọa được tạo ra một cách chiến lược để mã hóa các tập tin trên các thiết bị bị xâm nhập, yêu cầu thanh toán tiền chuộc cho việc giải mã chúng. Việc phát hiện ra ransomware AeR xảy ra trong quá trình phân tích kỹ lưỡng được thực hiện bởi các nhà nghiên cứu bảo mật thông tin trong khi điều tra các mối đe dọa phần mềm độc hại tiềm ẩn.

Sau khi kích hoạt trong các thiết bị bị xâm nhập, AeR sẽ bắt đầu quá trình mã hóa, nhắm mục tiêu vào nhiều loại tệp khác nhau và sửa đổi tên tệp gốc của chúng. Tiêu đề ban đầu của tệp trải qua quá trình chuyển đổi, với việc bổ sung ID duy nhất được gán cho nạn nhân, địa chỉ email thuộc về tội phạm mạng và phần mở rộng '.AeR'. Để minh họa, một tệp ban đầu được gắn nhãn là '1.doc' sẽ được chuyển thành '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Sau quá trình mã hóa, AeR Ransomware tạo ra hai thông báo đòi tiền chuộc riêng biệt. Các tệp văn bản có tên 'info.txt' được đặt một cách chiến lược trên màn hình nền và trong các thư mục bị ảnh hưởng. Đồng thời, thông báo đòi tiền chuộc hiển thị nổi bật trong cửa sổ bật lên. Đáng chú ý là AeR Ransomware được phân loại là một phần của nhóm mối đe dọa phần mềm độc hại Dharma , cho thấy mối liên hệ của nó với một dòng phần mềm đe dọa cụ thể.

AeR Ransomware bắt các tập tin làm con tin và đòi tiền chuộc

Thông báo đòi tiền chuộc do AeR Ransomware tạo ra được gửi ở hai định dạng khác nhau. Mặc dù tệp văn bản có tên 'info.txt' về cơ bản thúc giục nạn nhân thiết lập liên hệ với tội phạm mạng chịu trách nhiệm về cuộc tấn công, nhưng cửa sổ bật lên đi kèm cung cấp thông tin chi tiết hơn về tình huống này. Trong cửa sổ bật lên, nạn nhân được thông báo rằng các tập tin của họ đã được mã hóa.

Thông báo đòi tiền chuộc trong cửa sổ bật lên bao gồm các đảm bảo rằng việc khôi phục dữ liệu là khả thi. Tuy nhiên, điều đó ngụ ý rằng quá trình giải mã xoay quanh việc thanh toán tiền chuộc bằng tiền điện tử Bitcoin. Ngoài ra, nạn nhân được cung cấp một cơ hội hạn chế để kiểm tra quá trình giải mã cho tối đa ba tệp, tùy theo các tiêu chí cụ thể. Thông báo kết thúc bằng những cảnh báo rõ ràng về hậu quả của việc không tuân thủ.

AeR Ransomware được xác định là một phần của nhóm phần mềm độc hại Dharma, cho thấy mối liên hệ của nó với một dòng phần mềm độc hại cụ thể. Các chương trình trong nhóm này thể hiện khả năng sửa đổi hoặc mã hóa cả tệp cục bộ và tệp chia sẻ trên mạng. Đáng chú ý, Dharma Ransomware sử dụng chiến lược chấm dứt các quá trình được liên kết với các tệp đang mở, chẳng hạn như trình đọc tệp văn bản hoặc chương trình cơ sở dữ liệu. Cách tiếp cận này giúp phần mềm ransomware trốn tránh các miễn trừ mã hóa có thể xảy ra do nội dung được coi là 'đang được sử dụng'.

Một số dữ liệu nhất định sẽ tự động bị loại khỏi quá trình mã hóa để ngăn chặn các sự cố vận hành tiềm ẩn, chẳng hạn như các tệp hệ thống, nếu được mã hóa, có thể khiến thiết bị không hoạt động. Ngoài ra, các tệp đã bị khóa bởi phần mềm ransomware khác sẽ được miễn mã hóa dựa trên danh sách phần mềm độc hại được xác định trước. Tuy nhiên, cơ chế này không hoàn hảo vì nó không bao gồm tất cả các chương trình loại ransomware có thể có, để lại những lỗ hổng tiềm ẩn trong quá trình loại trừ.

Các biến thể của Dharma Ransomware thiết lập cơ chế bền bỉ

Phần mềm Dharma sử dụng nhiều kỹ thuật khác nhau để đảm bảo tính bền vững của nó trên các hệ thống bị xâm nhập. Một phương pháp liên quan đến việc sao chép phần mềm độc hại vào đường dẫn %LOCALAPPDATA% và đăng ký nó bằng các phím Run cụ thể, cho phép thực thi tự động khi mỗi lần khởi động lại hệ thống. Để ngăn cản các nỗ lực khôi phục hơn nữa, phần mềm ransomware thực hiện bước chủ động là xóa Bản sao ổ đĩa bóng tối.

Ngoài những biện pháp kiên trì này, các chương trình Phật pháp còn thể hiện mức độ phức tạp bằng cách xem xét vị trí địa lý của nạn nhân. Chức năng này cho phép chúng điều chỉnh các cuộc tấn công của mình, tránh các khu vực có thách thức kinh tế nơi người dùng gia đình có thể ít có khả năng thanh toán tiền chuộc. Phần mềm độc hại cũng có thể chọn mục tiêu dựa trên các cân nhắc về địa chính trị.

Dựa trên phân tích và nghiên cứu sâu rộng về nhiều trường hợp lây nhiễm ransomware, có thể thấy rõ rằng việc giải mã mà không có sự tham gia của những kẻ tấn công thường là một thách thức không thể vượt qua. Ngay cả trong trường hợp nạn nhân chọn trả tiền chuộc, không có gì đảm bảo sẽ nhận được khóa hoặc phần mềm giải mã cần thiết. Do đó, chúng tôi đặc biệt khuyên bạn không nên chiều theo yêu cầu tiền chuộc, vì những hành động như vậy không những không đảm bảo khôi phục tệp mà còn góp phần kéo dài các hoạt động bất hợp pháp.

Mặc dù việc loại bỏ AeR Ransomware khỏi hệ thống là rất quan trọng để ngăn chặn việc mã hóa dữ liệu thêm, nhưng cần lưu ý rằng chỉ riêng quy trình này sẽ không khôi phục được các tệp đã bị xâm phạm. Giải pháp chính nằm ở việc khôi phục các tệp từ bản sao lưu an toàn, giả sử có sẵn một bản sao lưu. Điều này nhấn mạnh tầm quan trọng của việc duy trì các hoạt động sao lưu thường xuyên và đáng tin cậy như một thành phần không thể thiếu trong chiến lược an ninh mạng hiệu quả.

Thông báo đòi tiền chuộc AeR hiển thị dưới dạng cửa sổ bật lên là:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Cách nhận Bitcoin
Cách dễ nhất để mua bitcoin là trang LocalBitcoins. Bạn phải đăng ký, nhấp vào 'Mua bitcoin' và chọn người bán theo phương thức thanh toán và giá cả.
hxxps://localbitcoins.com/buy_bitcoins
Ngoài ra, bạn có thể tìm những nơi khác để mua Bitcoin và hướng dẫn cho người mới bắt đầu tại đây:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Chú ý!
Không đổi tên các tập tin được mã hóa.
Đừng cố giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, việc này có thể gây mất dữ liệu vĩnh viễn.
Việc giải mã các tập tin của bạn với sự trợ giúp của bên thứ ba có thể khiến giá tăng lên (họ tính phí của họ vào của chúng tôi) hoặc bạn có thể trở thành nạn nhân của một trò lừa đảo.

Các tệp văn bản do mối đe dọa tạo ra chứa thông báo sau:

Bạn muốn quay lại?

viết email aerossh@nerdmail.co hoặc aerossh@cock.li hoặc aerossh@proton.me'