AeR Ransomware est basé sur le code du Dharma

AeR, un programme malveillant affilié à la famille de ransomwares Dharma, crypte les fichiers et demande des rançons pour leur décryptage.

AeR crypte les fichiers et modifie leurs noms en ajoutant un identifiant unique attribué à la victime, l'adresse e-mail des cybercriminels et une extension « .AeR ». Pour illustrer, un fichier initialement intitulé « 1.jpg » se transforme en « 1.jpg.id-9ECFA84E.[aerossh@nerdmail.co].AeR ».

Par la suite, le ransomware génère deux notes de rançon distinctes. Les fichiers texte intitulés « info.txt » sont déposés sur le bureau et les répertoires concernés, tandis que l'autre message apparaît sous forme de fenêtre pop-up.

Le fichier texte de l'AeR incite avant tout la victime à prendre contact avec les cybercriminels responsables de l'attaque. La fenêtre pop-up fournit plus d'informations, expliquant que les fichiers de la victime ont été cryptés.

Des assurances sont données concernant la possibilité de récupération des données, ce qui implique que le décryptage nécessite le paiement d'une rançon en crypto-monnaie Bitcoin. La victime a la possibilité de tester gratuitement le décryptage d’un maximum de trois fichiers (dans les limites des paramètres spécifiés). La fenêtre contextuelle se termine par des avertissements explicites.

La note de rançon AeR utilise le modèle du Dharma

Le texte intégral de la demande de rançon générée par le ransomware AeR est le suivant :

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation de prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque.

Comment les ransomwares cryptent-ils les données et les rendent-ils inaccessibles ?

Les ransomwares cryptent les données pour les rendre inaccessibles grâce à un processus qui implique des algorithmes de cryptage sophistiqués. Voici un aperçu de la façon dont cela se produit généralement :

Infiltration : les ransomwares accèdent à un ordinateur ou à un réseau par divers moyens, tels que des e-mails de phishing, des pièces jointes malveillantes, des sites Web compromis ou l'exploitation de vulnérabilités logicielles. Une fois à l’intérieur, il commence son processus de cryptage.

Exécution : Après avoir obtenu l'accès, le ransomware exécute son code sur le système de la victime. Cela implique souvent la création de plusieurs copies de lui-même et le lancement de processus lui permettant d’opérer de manière furtive.

Localisation de fichiers : le ransomware analyse le système de la victime pour identifier les types de fichiers ou répertoires spécifiques qu'il a l'intention de chiffrer. Certaines variantes de ransomware ciblent un large éventail de types de fichiers, tandis que d'autres se concentrent sur des données spécifiques, telles que des documents, des images ou des bases de données.

Chiffrement : les ransomwares utilisent des algorithmes de chiffrement puissants et généralement asymétriques, tels que RSA ou AES, pour chiffrer les fichiers identifiés. Le chiffrement asymétrique implique une paire de clés : une clé publique pour chiffrer les données et une clé privée, détenue par l'attaquant, pour les déchiffrer. Cela garantit que seul l'attaquant peut décrypter les fichiers.

Modification des fichiers : une fois cryptés, le ransomware modifie souvent les noms de fichiers et ajoute une extension de fichier spécifique pour indiquer que les fichiers sont désormais sous son contrôle. La victime peut également recevoir une demande de rançon expliquant la situation et fournissant des instructions sur la manière de payer pour obtenir la clé de décryptage.

Communication avec le serveur de commande et de contrôle (C2) : dans certains cas, le ransomware communique avec un serveur de commande et de contrôle contrôlé par l'attaquant. Cette communication peut impliquer l'envoi d'informations sur le système infecté et la réception d'instructions sur la manière de procéder à la demande de rançon.

Par Zaib
January 15, 2024
Ransomware
Français
January 15, 2024
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.