AeR Ransomware opiera się na Kodeksie Dharmy

AeR, złośliwy program powiązany z rodziną ransomware Dharma, szyfruje pliki i żąda okupu za ich odszyfrowanie.

AeR szyfruje pliki i modyfikuje ich nazwy, dołączając unikalny identyfikator przypisany ofierze, adres e-mail cyberprzestępców oraz rozszerzenie „.AeR”. Aby to zilustrować, plik pierwotnie oznaczony jako „1.jpg” przekształca się w „1.jpg.id-9ECFA84E.[aerossh@nerdmail.co].AeR”.

Następnie ransomware generuje dwa oddzielne żądania okupu. Pliki tekstowe zatytułowane „info.txt” są zapisywane na pulpicie i w odpowiednich katalogach, podczas gdy druga wiadomość pojawia się w wyskakującym oknie.

Plik tekstowy AeR przede wszystkim zachęca ofiarę do nawiązania kontaktu z cyberprzestępcami odpowiedzialnymi za atak. Wyskakujące okienko zawiera więcej informacji wyjaśniających, że pliki ofiary zostały zaszyfrowane.

Podawane są zapewnienia dotyczące możliwości odzyskania danych, co oznacza, że odszyfrowanie wymaga zapłaty okupu w kryptowalucie Bitcoin. Ofiara ma możliwość przetestowania odszyfrowania maksymalnie trzech plików bezpłatnie (w ramach określonych parametrów). Wyskakujące okienko kończy się wyraźnymi ostrzeżeniami.

List z żądaniem okupu AeR wykorzystuje szablon Dharmy

Pełny tekst żądania okupu wygenerowanego przez ransomware AeR wygląda następująco:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

W jaki sposób oprogramowanie ransomware szyfruje dane i czyni je niedostępnymi?

Ransomware szyfruje dane, aby uczynić je niedostępnymi w procesie obejmującym wyrafinowane algorytmy szyfrowania. Oto przegląd tego, jak to się zwykle dzieje:

Infiltracja: oprogramowanie ransomware uzyskuje dostęp do komputera lub sieci na różne sposoby, takie jak wiadomości e-mail phishingowe, złośliwe załączniki, zainfekowane strony internetowe lub wykorzystując luki w zabezpieczeniach oprogramowania. Po wejściu do środka rozpoczyna proces szyfrowania.

Wykonanie: Po uzyskaniu dostępu ransomware wykonuje swój kod w systemie ofiary. Często wiąże się to z tworzeniem wielu jego kopii i inicjowaniem procesów, które pozwalają mu na ukryte działanie.

Lokalizowanie plików: Ransomware skanuje system ofiary w celu zidentyfikowania określonych typów plików lub katalogów, które zamierza zaszyfrować. Niektóre warianty oprogramowania ransomware atakują szeroką gamę typów plików, podczas gdy inne skupiają się na określonych danych, takich jak dokumenty, obrazy lub bazy danych.

Szyfrowanie: ransomware wykorzystuje silne i zazwyczaj asymetryczne algorytmy szyfrowania, takie jak RSA lub AES, do szyfrowania zidentyfikowanych plików. Szyfrowanie asymetryczne obejmuje parę kluczy – klucz publiczny do szyfrowania danych i klucz prywatny, będący w posiadaniu atakującego, do ich odszyfrowania. Dzięki temu tylko osoba atakująca będzie mogła odszyfrować pliki.

Modyfikacja plików: Po zaszyfrowaniu ransomware często modyfikuje nazwy plików i dodaje określone rozszerzenie pliku, aby wskazać, że pliki są teraz pod jego kontrolą. Ofiara może również otrzymać notatkę z żądaniem okupu wyjaśniającą sytuację i zawierającą instrukcje dotyczące sposobu zapłaty, aby uzyskać klucz odszyfrowujący.

Komunikacja z serwerem dowodzenia i kontroli (C2): W niektórych przypadkach oprogramowanie ransomware komunikuje się z serwerem dowodzenia i kontroli kontrolowanym przez osobę atakującą. Komunikacja ta może obejmować wysłanie informacji o zainfekowanym systemie i otrzymanie instrukcji dotyczących dalszego postępowania z żądaniem okupu.