AeR Ransomware är baserad på Dharma Code

AeR, ett skadligt program kopplat till Dharma ransomware-familjen, krypterar filer och kräver lösensummor för deras dekryptering.

AeR krypterar filer och ändrar deras namn genom att lägga till ett unikt ID som tilldelats offret, e-postadressen till cyberbrottslingarna och ett ".AeR"-tillägg. För att illustrera omvandlas en fil som ursprungligen märktes "1.jpg" till "1.jpg.id-9ECFA84E.[aerosh@nerdmail.co].AeR."

Därefter genererar ransomware två separata lösennoteringar. Textfiler med titeln "info.txt" placeras på skrivbordet och berörda kataloger, medan det andra meddelandet visas som ett popup-fönster.

AeR:s textfil uppmuntrar i första hand offret att ta kontakt med de cyberbrottslingar som är ansvariga för attacken. Popup-fönstret ger mer information som förklarar att offrets filer har genomgått kryptering.

Försäkran ges angående möjligheten till dataåterställning, med en implikation att dekryptering kräver en lösensumma i Bitcoin kryptovaluta. Offret har möjlighet att testa dekryptering för upp till tre filer utan kostnad (inom angivna parametrar). Popup-fönstret avslutas med uttryckliga varningar.

AeR Ransom Note använder Dharma-mall

Den fullständiga texten i lösensumman som genereras av AeR ransomware lyder som följer:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uppmärksamhet!
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) eller så kan du bli offer för en bluff.

Hur krypterar Ransomware data och gör dem otillgängliga?

Ransomware krypterar data för att göra den otillgänglig genom en process som involverar sofistikerade krypteringsalgoritmer. Här är en översikt över hur detta vanligtvis inträffar:

Infiltration: Ransomware får tillgång till en dator eller nätverk på olika sätt, såsom nätfiske-e-postmeddelanden, skadliga bilagor, komprometterade webbplatser eller utnyttjande av sårbarheter i programvara. Väl inne börjar den sin krypteringsprocess.

Utförande: Efter att ha fått åtkomst, kör ransomware sin kod på offrets system. Detta involverar ofta skapandet av flera kopior av sig själv och initieringen av processer som gör att den kan arbeta smygande.

Lokalisera filer: Ransomware skannar offrets system för att identifiera specifika filtyper eller kataloger som den avser att kryptera. Vissa ransomware-varianter riktar sig till ett brett utbud av filtyper, medan andra fokuserar på specifik data, såsom dokument, bilder eller databaser.

Kryptering: Ransomware använder starka och typiskt asymmetriska krypteringsalgoritmer, såsom RSA eller AES, för att kryptera de identifierade filerna. Asymmetrisk kryptering involverar ett par nycklar – en offentlig nyckel för att kryptera data och en privat nyckel, som innehas av angriparen, för att dekryptera den. Detta säkerställer att endast angriparen kan dekryptera filerna.

Filändring: När den väl är krypterad ändrar ransomware ofta filnamnen och lägger till ett specifikt filtillägg för att indikera att filerna nu är under dess kontroll. Offret kan också få en lösensumma som förklarar situationen och ger instruktioner om hur man betalar för att få dekrypteringsnyckeln.

Kommunikation med kommando- och kontrollserver (C2): I vissa fall kommunicerar ransomware med en kommando- och kontrollserver som kontrolleras av angriparen. Denna kommunikation kan innebära att man skickar information om det infekterade systemet och tar emot instruktioner om hur man går vidare med kravet på lösen.