AeR Ransomware is gebaseerd op Dharma-code

AeR, een kwaadaardig programma dat is aangesloten bij de Dharma-ransomwarefamilie, codeert bestanden en eist losgeld voor de decodering ervan.

AeR codeert bestanden en wijzigt hun namen door een unieke ID toe te voegen die aan het slachtoffer is toegewezen, het e-mailadres van de cybercriminelen en een ".AeR"-extensie. Ter illustratie: een bestand dat oorspronkelijk "1.jpg" heette, wordt omgezet in "1.jpg.id-9ECFA84E.[aerossh@nerdmail.co].AeR."

Vervolgens genereert de ransomware twee afzonderlijke losgeldbriefjes. Tekstbestanden met de titel "info.txt" worden op het bureaublad en in de betreffende mappen geplaatst, terwijl het andere bericht als pop-upvenster verschijnt.

Het tekstbestand van AeR moedigt het slachtoffer vooral aan om contact te leggen met de cybercriminelen die verantwoordelijk zijn voor de aanval. Het pop-upvenster geeft meer informatie en legt uit dat de bestanden van het slachtoffer versleuteld zijn.

Er worden garanties gegeven met betrekking tot de mogelijkheid van gegevensherstel, met de implicatie dat voor decodering een losgeldbetaling in Bitcoin-cryptocurrency vereist is. Het slachtoffer heeft de mogelijkheid om de decodering van maximaal drie bestanden kosteloos te testen (binnen gespecificeerde parameters). De pop-up wordt afgesloten met expliciete waarschuwingen.

AeR losgeldbriefje maakt gebruik van Dharma-sjabloon

De volledige tekst van de losgeldbrief gegenereerd door de AeR-ransomware luidt als volgt:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aandacht!
Hernoem versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan tot hogere kosten leiden (zij voegen hun kosten toe aan die van ons) of u kunt het slachtoffer worden van oplichting.

Hoe versleutelt ransomware gegevens en maakt deze ontoegankelijk?

Ransomware versleutelt gegevens om deze ontoegankelijk te maken via een proces waarbij gebruik wordt gemaakt van geavanceerde versleutelingsalgoritmen. Hier volgt een overzicht van hoe dit doorgaans gebeurt:

Infiltratie: Ransomware krijgt op verschillende manieren toegang tot een computer of netwerk, zoals phishing-e-mails, kwaadaardige bijlagen, gecompromitteerde websites of het misbruiken van kwetsbaarheden in software. Eenmaal binnen begint het zijn coderingsproces.

Uitvoering: Na toegang te hebben verkregen, voert de ransomware zijn code uit op het systeem van het slachtoffer. Dit omvat vaak het maken van meerdere kopieën van zichzelf en het initiëren van processen waardoor het heimelijk kan werken.

Bestanden lokaliseren: Ransomware scant het systeem van het slachtoffer om specifieke bestandstypen of mappen te identificeren die het wil coderen. Sommige ransomwarevarianten richten zich op een breed scala aan bestandstypen, terwijl andere zich richten op specifieke gegevens, zoals documenten, afbeeldingen of databases.

Versleuteling: Ransomware gebruikt sterke en doorgaans asymmetrische versleutelingsalgoritmen, zoals RSA of AES, om de geïdentificeerde bestanden te versleutelen. Bij asymmetrische versleuteling zijn twee sleutels nodig: een publieke sleutel om de gegevens te versleutelen en een privésleutel, in het bezit van de aanvaller, om deze te ontsleutelen. Dit zorgt ervoor dat alleen de aanvaller de bestanden kan ontsleutelen.

Bestandswijziging: Eenmaal versleuteld, wijzigt de ransomware vaak de bestandsnamen en voegt een specifieke bestandsextensie toe om aan te geven dat de bestanden nu onder zijn controle staan. Het slachtoffer kan ook een losgeldbrief ontvangen waarin de situatie wordt uitgelegd en instructies worden gegeven over hoe te betalen om de decoderingssleutel te verkrijgen.

Communicatie met Command and Control (C2)-server: In sommige gevallen communiceert ransomware met een command and control-server die wordt beheerd door de aanvaller. Deze communicatie kan bestaan uit het verzenden van informatie over het geïnfecteerde systeem en het ontvangen van instructies over hoe verder te gaan met de vraag om losgeld.

Tegen Zaib
January 15, 2024
Ransomware
Nederlands
January 15, 2024
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.