AeR 勒索软件
AeR 是一个威胁性程序,经过精心设计,旨在对受感染设备上的文件进行加密,并要求支付赎金才能解密。 AeR 勒索软件是在信息安全研究人员在调查潜在恶意软件威胁时进行彻底分析时发现的。
在受感染设备内激活后,AeR 会启动加密过程,针对多种文件类型并修改其原始文件名。文件的初始标题发生了变化,添加了分配给受害者的唯一 ID、属于网络犯罪分子的电子邮件地址以及“.AeR”扩展名。为了说明这一点,最初标记为“1.doc”的文件将转换为“1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR”。
加密过程结束后,AeR 勒索软件会生成两份不同的勒索字条。名为“info.txt”的文本文件被策略性地放置在桌面上和受影响的目录中。同时,弹出窗口中醒目地显示一条索要赎金的消息。值得注意的是,AeR 勒索软件被归类为Dharma恶意软件威胁家族的一部分,这表明它与特定的威胁软件系列有关。
AeR 勒索软件劫持文件并索要赎金
AeR 勒索软件生成的勒索字条以两种不同的格式提供。虽然名为“info.txt”的文本文件本质上是敦促受害者与负责攻击的网络犯罪分子建立联系,但随附的弹出窗口提供了有关情况的更详细信息。在弹出窗口中,受害者被告知他们的文件已被加密。
弹出窗口中的勒索消息包含数据恢复可行的保证。尽管如此,这仍然意味着解密过程取决于以比特币加密货币支付赎金。此外,受害者有有限的机会测试最多三个文件的解密过程,具体取决于特定标准。该消息最后明确警告不遵守规定的后果。
AeR 勒索软件被识别为 Dharma 恶意软件组的一部分,表明它与特定恶意软件谱系相关。该组中的程序具有修改或加密本地和网络共享文件的能力。值得注意的是,Dharma 勒索软件采用终止与打开文件链接的进程的策略,例如文本文件阅读器或数据库程序。这种方法有助于勒索软件逃避由于内容被视为“正在使用”而可能发生的加密豁免。
某些数据会自动从加密过程中排除,以防止潜在的操作问题,例如系统文件,如果加密,可能会导致设备无法操作。此外,已被其他勒索软件锁定的文件将根据预定的恶意软件列表免于加密。然而,这种机制并非完美无缺,因为它并未涵盖所有可能的勒索软件类型程序,从而在排除过程中留下了潜在的漏洞。
Dharma 勒索软件变种建立持久性机制
Dharma 软件采用各种技术来确保其在受感染系统上的持久性。一种方法是将恶意软件复制到%LOCALAPPDATA%路径并使用特定的运行键注册它,从而在每次系统重新启动时自动执行。为了进一步阻止恢复工作,勒索软件会主动删除卷影卷副本。
除了这些持久性措施之外,佛法计划还通过考虑受害者的地理位置来展现一定程度的复杂性。此功能使他们能够定制攻击,避开家庭用户可能不太可能支付赎金的经济困难地区。恶意软件还可以根据地缘政治考虑选择目标。
根据对大量勒索软件感染的广泛分析和研究,很明显,在没有攻击者参与的情况下解密通常是一个难以克服的挑战。即使受害者选择支付赎金,也不能保证收到必要的解密密钥或软件。因此,强烈建议不要屈服于赎金要求,因为此类行为不仅无法确保文件恢复,而且还会导致非法活动的持续存在。
虽然从系统中删除 AeR 勒索软件对于防止进一步的数据加密至关重要,但必须注意的是,仅此过程无法恢复已受损的文件。主要解决方案在于从安全备份中恢复文件(假设有可用的备份)。这强调了维护定期和可靠的备份实践作为有效网络安全策略不可或缺的组成部分的重要性。
AeR 在弹出窗口中显示的勒索字条是:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册,点击“购买比特币”,然后按付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在这里找到其他购买比特币的地方和初学者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/注意力!
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据,这可能会导致永久数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨(他们将其费用添加到我们的费用中),或者您可能成为诈骗的受害者。威胁生成的文本文件包含以下消息:
你想回来吗?
写电子邮件 aerossh@nerdmail.co 或 aerossh@cock.li 或 aerossh@proton.me'
