Το AeR Ransomware βασίζεται στον κώδικα Dharma

Το AeR, ένα κακόβουλο πρόγραμμα που συνδέεται με την οικογένεια ransomware Dharma, κρυπτογραφεί αρχεία και απαιτεί λύτρα για την αποκρυπτογράφηση τους.

Το AeR κρυπτογραφεί αρχεία και τροποποιεί τα ονόματά τους προσθέτοντας ένα μοναδικό αναγνωριστικό που έχει εκχωρηθεί στο θύμα, τη διεύθυνση email των εγκληματιών του κυβερνοχώρου και μια επέκταση ".AeR". Για παράδειγμα, ένα αρχείο με την αρχική επισήμανση "1.jpg" μετατρέπεται σε "1.jpg.id-9ECFA84E.[aerossh@nerdmail.co].AeR."

Στη συνέχεια, το ransomware δημιουργεί δύο ξεχωριστές σημειώσεις λύτρων. Τα αρχεία κειμένου με τίτλο "info.txt" αποτίθενται στην επιφάνεια εργασίας και στους καταλόγους που επηρεάζονται, ενώ το άλλο μήνυμα εμφανίζεται ως αναδυόμενο παράθυρο.

Το αρχείο κειμένου της AeR ενθαρρύνει κυρίως το θύμα να έλθει σε επαφή με τους κυβερνοεγκληματίες που ευθύνονται για την επίθεση. Το αναδυόμενο παράθυρο παρέχει περισσότερες πληροφορίες, εξηγώντας ότι τα αρχεία του θύματος έχουν υποστεί κρυπτογράφηση.

Δίνονται διαβεβαιώσεις σχετικά με τη δυνατότητα ανάκτησης δεδομένων, υπονοώντας ότι η αποκρυπτογράφηση απαιτεί πληρωμή λύτρων σε κρυπτονόμισμα Bitcoin. Το θύμα έχει την επιλογή να δοκιμάσει την αποκρυπτογράφηση για έως και τρία αρχεία χωρίς κόστος (εντός καθορισμένων παραμέτρων). Το αναδυόμενο παράθυρο ολοκληρώνεται με ρητές προειδοποιήσεις.

Το AeR Ransom Note χρησιμοποιεί το πρότυπο Dharma

Το πλήρες κείμενο του σημειώματος λύτρων που δημιουργήθηκε από το ransomware AeR έχει ως εξής:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Προσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.

Πώς το Ransomware κρυπτογραφεί τα δεδομένα και τα καθιστά απρόσιτα;

Το Ransomware κρυπτογραφεί δεδομένα για να τα καταστήσει απρόσιτα μέσω μιας διαδικασίας που περιλαμβάνει εξελιγμένους αλγόριθμους κρυπτογράφησης. Ακολουθεί μια επισκόπηση του πώς συμβαίνει αυτό συνήθως:

Διείσδυση: Το Ransomware αποκτά πρόσβαση σε έναν υπολογιστή ή δίκτυο μέσω διαφόρων μέσων, όπως email ηλεκτρονικού ψαρέματος, κακόβουλα συνημμένα, παραβιασμένους ιστότοπους ή εκμετάλλευση ευπαθειών λογισμικού. Μόλις μπει, ξεκινά τη διαδικασία κρυπτογράφησης.

Εκτέλεση: Αφού αποκτήσει πρόσβαση, το ransomware εκτελεί τον κώδικά του στο σύστημα του θύματος. Αυτό συχνά περιλαμβάνει τη δημιουργία πολλαπλών αντιγράφων του εαυτού του και την έναρξη διαδικασιών που του επιτρέπουν να λειτουργεί κρυφά.

Εντοπισμός αρχείων: Το Ransomware σαρώνει το σύστημα του θύματος για να εντοπίσει συγκεκριμένους τύπους αρχείων ή καταλόγους που σκοπεύει να κρυπτογραφήσει. Ορισμένες παραλλαγές ransomware στοχεύουν ένα ευρύ φάσμα τύπων αρχείων, ενώ άλλες επικεντρώνονται σε συγκεκριμένα δεδομένα, όπως έγγραφα, εικόνες ή βάσεις δεδομένων.

Κρυπτογράφηση: Το Ransomware χρησιμοποιεί ισχυρούς και τυπικά ασύμμετρους αλγόριθμους κρυπτογράφησης, όπως RSA ή AES, για την κρυπτογράφηση των αναγνωρισμένων αρχείων. Η ασύμμετρη κρυπτογράφηση περιλαμβάνει ένα ζεύγος κλειδιών – ένα δημόσιο κλειδί για την κρυπτογράφηση των δεδομένων και ένα ιδιωτικό κλειδί, που κρατά ο εισβολέας, για την αποκρυπτογράφηση τους. Αυτό διασφαλίζει ότι μόνο ο εισβολέας μπορεί να αποκρυπτογραφήσει τα αρχεία.

Τροποποίηση αρχείου: Μόλις κρυπτογραφηθεί, το ransomware τροποποιεί συχνά τα ονόματα των αρχείων και προσθέτει μια συγκεκριμένη επέκταση αρχείου για να υποδείξει ότι τα αρχεία βρίσκονται πλέον υπό τον έλεγχό του. Το θύμα μπορεί επίσης να λάβει ένα σημείωμα λύτρων που εξηγεί την κατάσταση και παρέχει οδηγίες για το πώς να πληρώσει για να πάρει το κλειδί αποκρυπτογράφησης.

Επικοινωνία με διακομιστή εντολών και ελέγχου (C2): Σε ορισμένες περιπτώσεις, το ransomware επικοινωνεί με έναν διακομιστή εντολών και ελέγχου που ελέγχεται από τον εισβολέα. Αυτή η επικοινωνία μπορεί να περιλαμβάνει την αποστολή πληροφοριών σχετικά με το μολυσμένο σύστημα και τη λήψη οδηγιών για το πώς να προχωρήσετε με την απαίτηση λύτρων.