AeR Ransomware er basert på Dharma Code

AeR, et ondsinnet program tilknyttet Dharma-ransomware-familien, krypterer filer og krever løsepenger for dekryptering.

AeR krypterer filer og endrer navnene deres ved å legge til en unik ID som er tildelt offeret, e-postadressen til nettkriminelle og en ".AeR"-utvidelse. For å illustrere, en fil opprinnelig merket "1.jpg" forvandles til "1.jpg.id-9ECFA84E.[aerosh@nerdmail.co].AeR."

Deretter genererer løsepengevaren to separate løsepenger. Tekstfiler med tittelen "info.txt" legges inn på skrivebordet og berørte kataloger, mens den andre meldingen vises som et popup-vindu.

AeRs tekstfil oppfordrer først og fremst offeret til å etablere kontakt med de nettkriminelle som er ansvarlige for angrepet. Popup-vinduet gir mer informasjon, som forklarer at offerets filer har gjennomgått kryptering.

Det gis forsikringer om muligheten for datagjenoppretting, med en implikasjon av at dekryptering krever løsepenger i Bitcoin kryptovaluta. Offeret har muligheten til å teste dekryptering for opptil tre filer uten kostnad (innenfor spesifiserte parametere). Popup-vinduet avsluttes med eksplisitte advarsler.

AeR Ransom Note bruker Dharma-mal

Den fullstendige teksten til løsepengenotatet generert av AeR løsepengevaren går som følger:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.

Hvordan krypterer ransomware data og gjør dem utilgjengelige?

Ransomware krypterer data for å gjøre dem utilgjengelige gjennom en prosess som involverer sofistikerte krypteringsalgoritmer. Her er en oversikt over hvordan dette vanligvis skjer:

Infiltrasjon: Ransomware får tilgang til en datamaskin eller nettverk på ulike måter, for eksempel phishing-e-poster, ondsinnede vedlegg, kompromitterte nettsteder eller utnyttelse av programvaresårbarheter. Når den er inne, begynner den krypteringsprosessen.

Utførelse: Etter å ha fått tilgang, kjører løsepengevaren sin kode på offerets system. Dette innebærer ofte opprettelse av flere kopier av seg selv og igangsetting av prosesser som lar den operere snikende.

Finne filer: Ransomware skanner offerets system for å identifisere spesifikke filtyper eller kataloger som den har til hensikt å kryptere. Noen løsepengevarevarianter retter seg mot et bredt spekter av filtyper, mens andre fokuserer på spesifikke data, for eksempel dokumenter, bilder eller databaser.

Kryptering: Ransomware bruker sterke og typisk asymmetriske krypteringsalgoritmer, som RSA eller AES, for å kryptere de identifiserte filene. Asymmetrisk kryptering involverer et par nøkler – en offentlig nøkkel for å kryptere dataene og en privat nøkkel, holdt av angriperen, for å dekryptere dem. Dette sikrer at bare angriperen kan dekryptere filene.

Filendring: Når løsepengevaren er kryptert, endrer ofte filnavnene og legger til en spesifikk filtype for å indikere at filene nå er under dens kontroll. Offeret kan også motta en løsepenge som forklarer situasjonen og gir instruksjoner om hvordan man betaler for å få dekrypteringsnøkkelen.

Kommunikasjon med kommando- og kontrollserver (C2): I noen tilfeller kommuniserer løsepengevare med en kommando- og kontrollserver kontrollert av angriperen. Denne kommunikasjonen kan innebære å sende informasjon om det infiserte systemet og motta instruksjoner om hvordan man går frem med kravet om løsepenger.