AeR Ransomware er baseret på Dharma Code

AeR, et ondsindet program tilknyttet Dharma ransomware-familien, krypterer filer og kræver løsesum for deres dekryptering.

AeR krypterer filer og ændrer deres navne ved at tilføje et unikt ID, der er tildelt offeret, e-mail-adressen på de cyberkriminelle og en ".AeR"-udvidelse. For at illustrere, en fil oprindeligt mærket "1.jpg" transformeres til "1.jpg.id-9ECFA84E.[aerosh@nerdmail.co].AeR."

Efterfølgende genererer ransomwaren to separate løsesumsedler. Tekstfiler med titlen "info.txt" deponeres på skrivebordet og berørte mapper, mens den anden meddelelse vises som et pop op-vindue.

AeRs tekstfil opfordrer primært offeret til at etablere kontakt med de cyberkriminelle, der er ansvarlige for angrebet. Pop-up-vinduet giver flere oplysninger, der forklarer, at ofrets filer har gennemgået kryptering.

Der gives forsikringer vedrørende muligheden for datagendannelse, med en implikation af, at dekryptering kræver en løsesumsbetaling i Bitcoin kryptovaluta. Offeret har mulighed for at teste dekryptering for op til tre filer uden omkostninger (inden for specificerede parametre). Pop-up'et afsluttes med eksplicitte advarsler.

AeR Ransom Note bruger Dharma-skabelon

Den fulde tekst af løsesumsedlen genereret af AeR ransomware lyder som følger:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for et svindelnummer.

Hvordan krypterer Ransomware data og gør dem utilgængelige?

Ransomware krypterer data for at gøre dem utilgængelige gennem en proces, der involverer sofistikerede krypteringsalgoritmer. Her er en oversigt over, hvordan dette typisk sker:

Infiltration: Ransomware får adgang til en computer eller et netværk på forskellige måder, såsom phishing-e-mails, ondsindede vedhæftede filer, kompromitterede websteder eller udnyttelse af softwaresårbarheder. Når den først er inde, begynder den sin krypteringsproces.

Udførelse: Efter at have fået adgang, udfører ransomwaren sin kode på offerets system. Dette involverer ofte skabelsen af flere kopier af sig selv og igangsættelsen af processer, der tillader den at fungere snigende.

Lokalisering af filer: Ransomware scanner offerets system for at identificere specifikke filtyper eller mapper, som den har til hensigt at kryptere. Nogle ransomware-varianter retter sig mod en bred vifte af filtyper, mens andre fokuserer på specifikke data, såsom dokumenter, billeder eller databaser.

Kryptering: Ransomware bruger stærke og typisk asymmetriske krypteringsalgoritmer, såsom RSA eller AES, til at kryptere de identificerede filer. Asymmetrisk kryptering involverer et par nøgler - en offentlig nøgle til at kryptere dataene og en privat nøgle, som angriberen holder, til at dekryptere dem. Dette sikrer, at kun angriberen kan dekryptere filerne.

Filændring: Når den først er krypteret, ændrer ransomwaren ofte filnavnene og tilføjer en specifik filtypenavn for at indikere, at filerne nu er under dens kontrol. Offeret kan også modtage en løsesum, der forklarer situationen og giver instruktioner om, hvordan man betaler for at få dekrypteringsnøglen.

Kommunikation med kommando- og kontrolserver (C2): I nogle tilfælde kommunikerer ransomware med en kommando- og kontrolserver, der kontrolleres af angriberen. Denne kommunikation kan omfatte afsendelse af oplysninger om det inficerede system og modtagelse af instruktioner om, hvordan man fortsætter med kravet om løsesum.