AeR 勒索軟體

AeR 是一個威脅性程序，經過精心設計，旨在對受感染設備上的文件進行加密，並要求支付贖金才能解密。 AeR 勒索軟體是在資訊安全研究人員在調查潛在惡意軟體威脅時進行徹底分析時發現的。

在受感染裝置內啟動後，AeR 會啟動加密過程，針對多種檔案類型並修改其原始檔案名稱。文件的初始標題發生了變化，添加了分配給受害者的唯一 ID、屬於網路犯罪分子的電子郵件地址以及「.AeR」副檔名。為了說明這一點，最初標記為「1.doc」的檔案將轉換為「1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR」。

加密過程結束後，AeR 勒索軟體會產生兩份不同的勒索字條。名為「info.txt」的文字檔案被策略性地放置在桌面上和受影響的目錄中。同時，彈出視窗中醒目地顯示一條索要贖金的訊息。值得注意的是，AeR 勒索軟體被歸類為Dharma惡意軟體威脅家族的一部分，這表明它與特定的威脅軟體系列有關。

AeR 勒索軟體劫持文件並索取贖金

AeR 勒索軟體產生的勒索字條以兩種不同的格式提供。雖然名為「info.txt」的文字檔案本質上是敦促受害者與負責攻擊的網路犯罪分子建立聯繫，但隨附的彈出視窗提供了有關情況的更詳細資訊。在彈出視窗中，受害者被告知他們的文件已被加密。

彈出視窗中的勒索訊息包含資料復原可行的保證。儘管如此，這仍然意味著解密過程取決於以比特幣加密貨幣支付贖金。此外，受害者有有限的機會測試最多三個文件的解密過程，具體取決於特定標準。該訊息最後明確警告不遵守規定的後果。

AeR 勒索軟體被識別為 Dharma 惡意軟體組的一部分，表明它與特定惡意軟體譜系相關。此群組中的程式具有修改或加密本機和網路共用檔案的能力。值得注意的是，Dharma 勒索軟體採用終止與開啟檔案連結的流程的策略，例如文字檔案讀取器或資料庫程式。這種方法有助於勒索軟體逃避因內容被視為「正在使用」而可能發生的加密豁免。

某些資料會自動從加密過程中排除，以防止潛在的操作問題，例如係統文件，如果加密，可能會導致裝置無法操作。此外，已被其他勒索軟體鎖定的檔案將根據預定的惡意軟體清單免於加密。然而，這種機制並非完美無缺，因為它並未涵蓋所有可能的勒索軟體類型程序，從而在排除過程中留下了潛在的漏洞。

Dharma 勒索軟體變種建立持久機制

Dharma 軟體採用各種技術來確保其在受感染系統上的持久性。一種方法是將惡意軟體複製到％LOCALAPPDATA％路徑並使用特定的運行鍵註冊它，從而在每次系統重新啟動時自動執行。為了進一步阻止復原工作，勒索軟體會主動刪除卷影卷副本。

除了這些持久性措施之外，佛法計畫還透過考慮受害者的地理位置來展現一定程度的複雜性。此功能使他們能夠自訂攻擊，避開家庭用戶可能不太可能支付贖金的經濟困難地區。惡意軟體還可以根據地緣政治考量選擇目標。

根據對大量勒索軟體感染的廣泛分析和研究，很明顯，在沒有攻擊者參與的情況下解密通常是一個難以克服的挑戰。即使受害者選擇支付贖金，也不能保證收到必要的解密金鑰或軟體。因此，強烈建議不要屈服於贖金要求，因為此類行為不僅無法確保文件恢復，而且還會導致非法活動的持續存在。

雖然從系統中刪除 AeR 勒索軟體對於防止進一步的資料加密至關重要，但必須注意的是，僅此過程無法恢復已受損的檔案。主要解決方案在於從安全備份中還原檔案（假設有可用的備份）。這強調了維護定期和可靠的備份實踐作為有效網路安全策略不可或缺的組成部分的重要性。

AeR 在彈出視窗中顯示的勒索字條是：

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

如何獲得比特幣
購買比特幣最簡單的方法就是 LocalBitcoins 網站。您必須註冊，點擊“購買比特幣”，然後按付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您也可以在這裡找到其他購買比特幣的地方和初學者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力！
不要重新命名加密檔案。
請勿嘗試使用第三方軟體解密您的數據，這可能會導致永久資料遺失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們將其費用添加到我們的費用中），或者您可能會成為詐騙的受害者。

威脅產生的文字檔案包含以下訊息：

你想回來嗎？

寫電子郵件 aerossh@nerdmail.co 或 aerossh@cock.li 或 aerossh@proton.me'