Az AeR Ransomware a Dharma kódon alapul

Az AeR, a Dharma ransomware családhoz kapcsolódó rosszindulatú program titkosítja a fájlokat, és váltságdíjat követel a visszafejtésükért.

Az AeR titkosítja a fájlokat és módosítja a nevüket egy, az áldozathoz rendelt egyedi azonosító, a kiberbűnözők e-mail címének és egy „.AeR” kiterjesztéssel. Szemléltetésképpen az eredetileg "1.jpg" címkével ellátott fájl átalakul "1.jpg.id-9ECFA84E.[aerossh@nerdmail.co].AeR"-re.

Ezt követően a ransomware két külön váltságdíj-jegyet generál. Az "info.txt" elnevezésű szöveges fájlok az asztalon és az érintett könyvtárakban helyezkednek el, míg a másik üzenet felugró ablakként jelenik meg.

Az AeR szöveges fájlja elsősorban arra ösztönzi az áldozatot, hogy lépjen kapcsolatba a támadásért felelős számítógépes bűnözőkkel. A felugró ablak további információkat tartalmaz, elmagyarázva, hogy az áldozat fájljait titkosították.

A biztosítékok az adatok helyreállításának lehetőségére vonatkoznak, ami azt jelenti, hogy a visszafejtéshez váltságdíjat kell fizetni Bitcoin kriptovalutában. Az áldozatnak lehetősége van három fájl visszafejtésének tesztelésére ingyenesen (a megadott paramétereken belül). Az előugró ablak kifejezett figyelmeztetésekkel zárul.

Az AeR Ransom Note Dharma sablont használ

Az AeR ransomware által generált váltságdíj teljes szövege a következő:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.

Hogyan titkosítja a Ransomware az adatokat, és teszi hozzáférhetetlenné?

A Ransomware titkosítja az adatokat, hogy elérhetetlenné tegye azokat egy olyan folyamaton keresztül, amely kifinomult titkosítási algoritmusokat tartalmaz. Íme egy áttekintés arról, hogy ez általában hogyan történik:

Beszivárgás: A Ransomware különféle eszközökkel, például adathalász e-mailekkel, rosszindulatú mellékletekkel, feltört webhelyekkel vagy szoftveres sebezhetőségek kihasználásával fér hozzá a számítógéphez vagy a hálózathoz. Amint bekerült, megkezdi a titkosítási folyamatot.

Végrehajtás: A hozzáférés megszerzése után a ransomware végrehajtja a kódját az áldozat rendszerén. Ez gyakran magában foglalja több másolat létrehozását is, és olyan folyamatok elindítását, amelyek lehetővé teszik a lopakodó működést.

Fájlok lokalizálása: A Ransomware átvizsgálja az áldozat rendszerét, hogy azonosítsa a titkosítani kívánt fájltípusokat vagy könyvtárakat. Egyes ransomware-változatok fájltípusok széles skáláját célozzák meg, míg mások konkrét adatokra, például dokumentumokra, képekre vagy adatbázisokra összpontosítanak.

Titkosítás: A Ransomware erős és jellemzően aszimmetrikus titkosítási algoritmusokat, például RSA-t vagy AES-t használ az azonosított fájlok titkosításához. Az aszimmetrikus titkosítás egy pár kulcsot foglal magában – egy nyilvános kulcsot az adatok titkosításához és egy magánkulcsot, amelyet a támadó tart a visszafejtéshez. Ez biztosítja, hogy csak a támadó tudja visszafejteni a fájlokat.

Fájlmódosítás: A titkosítást követően a ransomware gyakran módosítja a fájlneveket, és egy adott fájlkiterjesztést ad hozzá, jelezve, hogy a fájlok most az ellenőrzése alatt állnak. Az áldozat váltságdíjat is kaphat, amelyben elmagyarázza a helyzetet, és útmutatást ad arról, hogyan kell fizetnie a visszafejtési kulcs megszerzéséért.

Kommunikáció a Command and Control (C2) kiszolgálóval: Bizonyos esetekben a zsarolóprogramok a támadó által irányított parancs- és vezérlőkiszolgálóval kommunikálnak. Ez a kommunikáció magában foglalhatja a fertőzött rendszerrel kapcsolatos információk elküldését és a váltságdíj követelésével kapcsolatos utasítások megszerzését.