AeR Ransomware yra pagrįsta Dharma kodu

AeR, kenkėjiška programa, susijusi su Dharma ransomware šeima, šifruoja failus ir reikalauja išpirkos už jų iššifravimą.

AeR užšifruoja failus ir modifikuoja jų pavadinimus, pridedant unikalų aukai priskirtą ID, kibernetinių nusikaltėlių el. pašto adresą ir plėtinį „.AeR“. Norėdami iliustruoti, failas, iš pradžių pažymėtas „1.jpg“, paverčiamas į „1.jpg.id-9ECFA84E.[aerossh@nerdmail.co].AeR“.

Vėliau išpirkos reikalaujanti programa generuoja du atskirus išpirkos kupiūras. Tekstiniai failai pavadinimu "info.txt" yra deponuojami darbalaukyje ir paveiktuose kataloguose, o kitas pranešimas rodomas kaip iššokantis langas.

AeR tekstinis failas pirmiausia skatina auką užmegzti ryšį su kibernetiniais nusikaltėliais, atsakingais už ataką. Iššokančiajame lange pateikiama daugiau informacijos, paaiškinanti, kad aukos failai buvo užšifruoti.

Suteikiamos garantijos dėl duomenų atkūrimo galimybės, o tai reiškia, kad norint iššifruoti reikia sumokėti išpirką Bitcoin kriptovaliuta. Auka turi galimybę nemokamai išbandyti iki trijų failų iššifravimą (neviršijant nurodytų parametrų). Iššokantis langas baigiamas aiškiais įspėjimais.

AeR Ransom Note naudoja Dharma šabloną

Visas AeR ransomware sugeneruotas išpirkos rašto tekstas yra toks:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dėmesio!
Nepervardykite užšifruotų failų.
Nebandykite iššifruoti savo duomenų naudodami trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą.
Jūsų failų iššifravimas su trečiųjų šalių pagalba gali padidinti kainą (jie prideda savo mokestį prie mūsų) arba galite tapti sukčiavimo auka.

Kaip Ransomware užšifruoja duomenis ir daro juos neprieinamus?

Ransomware užšifruoja duomenis, kad jie būtų neprieinami per procesą, kuris apima sudėtingus šifravimo algoritmus. Štai kaip tai paprastai nutinka:

Įsiskverbimas: Ransomware gauna prieigą prie kompiuterio ar tinklo įvairiomis priemonėmis, pvz., sukčiavimo el. laiškais, kenkėjiškais priedais, pažeistomis svetainėmis arba išnaudodama programinės įrangos spragas. Patekęs į vidų, jis pradeda šifravimo procesą.

Vykdymas: gavusi prieigą, išpirkos reikalaujanti programa paleidžia savo kodą aukos sistemoje. Tai dažnai apima kelių savo kopijų kūrimą ir procesų, leidžiančių veikti slaptai, inicijavimą.

Failų vietos nustatymas: Ransomware nuskaito aukos sistemą, kad nustatytų konkrečius failų tipus arba katalogus, kuriuos ji ketina užšifruoti. Kai kurie išpirkos reikalaujančių programų variantai taikomi daugeliui failų tipų, o kiti sutelkia dėmesį į konkrečius duomenis, tokius kaip dokumentai, vaizdai ar duomenų bazės.

Šifravimas: Ransomware naudoja stiprius ir paprastai asimetrinius šifravimo algoritmus, tokius kaip RSA arba AES, kad užšifruotų identifikuotus failus. Asimetriškas šifravimas apima porą raktų – viešąjį raktą duomenims užšifruoti ir privatų raktą, kurį turi užpuolikas, kad juos iššifruotų. Tai užtikrina, kad tik užpuolikas gali iššifruoti failus.

Failo keitimas: užšifruota, išpirkos reikalaujanti programa dažnai pakeičia failų pavadinimus ir prideda konkretų failo plėtinį, nurodydama, kad dabar failai yra jos valdomi. Auka taip pat gali gauti išpirkos raštelį, kuriame paaiškinama situacija ir pateikiami nurodymai, kaip sumokėti, kad gautų iššifravimo raktą.

Ryšys su komandų ir valdymo (C2) serveriu: kai kuriais atvejais išpirkos reikalaujančios programos bendrauja su užpuoliko valdomu komandų ir valdymo serveriu. Šis bendravimas gali apimti informacijos apie užkrėstą sistemą siuntimą ir nurodymų, kaip tęsti išpirkos reikalavimą, gavimą.