AeR ランサムウェア

AeR は、侵害されたデバイス上のファイルを暗号化し、復号化に対して身代金の支払いを要求するように戦略的に作成された脅威的なプログラムです。 AeR ランサムウェアの発見は、情報セキュリティ研究者が潜在的なマルウェアの脅威を調査する際に実施した徹底的な分析中に発生しました。

侵害されたデバイス内でアクティブ化されると、AeR は暗号化プロセスを開始し、さまざまな種類のファイルを対象にして元のファイル名を変更します。ファイルの最初のタイトルは変換され、被害者に割り当てられた一意の ID、サイバー犯罪者の電子メール アドレス、および「.AeR」拡張子が追加されます。たとえば、最初に「1.doc」というラベルが付けられていたファイルは、「1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR」に変換されます。

暗号化プロセスの後、AeR ランサムウェアは 2 つの異なる身代金メモを生成します。 「info.txt」という名前のテキスト ファイルは、デスクトップおよび影響を受けるディレクトリ内に戦略的に配置されます。同時に、身代金を要求するメッセージがポップアップ ウィンドウに目立つように表示されます。 AeR ランサムウェアがマルウェア脅威のDharmaファミリの一部として分類されており、特定の系統の脅威ソフトウェアとの関連性を示していることは注目に値します。

AeR ランサムウェアがファイルを人質に取り身代金を要求

AeR ランサムウェアによって生成された身代金メモは、2 つの異なる形式で配信されます。 「info.txt」という名前のテキスト ファイルは基本的に、被害者に攻撃を実行したサイバー犯罪者との連絡を確立するよう促しますが、付随するポップアップ ウィンドウには状況に関するより詳細な情報が表示されます。ポップアップでは、被害者にはファイルが暗号化されたことが通知されます。

ポップアップ ウィンドウの身代金メッセージには、データ回復が可能であるという保証が含まれています。それでも、復号プロセスはビットコイン暗号通貨での身代金の支払いに依存していることを意味します。さらに、被害者には、特定の基準に従って、最大 3 つのファイルの復号化プロセスをテストする限られた機会が提供されます。メッセージは、コンプライアンス違反の結果に関する明確な警告で終わります。

AeR ランサムウェアは Dharma マルウェア グループの一部として識別されており、悪意のあるソフトウェアの特定の系統との関連性を示しています。このグループ内のプログラムは、ローカル ファイルとネットワーク共有ファイルの両方を変更または暗号化する機能を備えています。特に、Dharma ランサムウェアは、テキスト ファイル リーダーやデータベース プログラムなど、開いているファイルにリンクされているプロセスを終了する戦略を採用しています。このアプローチは、ランサムウェアが、コンテンツが「使用中」とみなされるために発生する可能性のある暗号化の免除を回避するのに役立ちます。

特定のデータは、暗号化された場合にデバイスが動作不能になる可能性があるシステム ファイルなどの潜在的な動作上の問題を防ぐために、暗号化プロセスから自動的に除外されます。さらに、他のランサムウェアによってすでにロックされているファイルは、所定のマルウェア リストに基づいて暗号化の対象から除外されます。ただし、このメカニズムは完璧ではなく、考えられるすべてのランサムウェア タイプのプログラムを網羅しているわけではなく、除外プロセスに潜在的な脆弱性が残されています。

Dharma ランサムウェアの亜種は永続化メカニズムを確立する

Dharma ソフトウェアは、侵害されたシステム上での永続性を確保するためにさまざまな技術を採用しています。 1 つの方法では、マルウェアを %LOCALAPPDATA% パスにコピーし、特定の Run キーに登録して、システムの再起動ごとに自動実行できるようにします。回復作業をさらに妨害するために、ランサムウェアはシャドウ ボリューム コピーを削除するという積極的な措置を講じます。

これらの持続性対策に加えて、Dharma プログラムは被害者の地理位置情報を考慮することにより、高度なレベルを示します。この機能により、攻撃者は攻撃を調整し、家庭ユーザーが身代金を支払う可能性が低い経済的問題のある地域を回避することができます。マルウェアは、地政学的な考慮事項に基づいてターゲットを選択することもあります。

多数のランサムウェア感染に関する広範な分析と調査に基づいて、攻撃者の関与なしで復号化することは通常、克服できない課題であることが明らかになりました。被害者が身代金の支払いを選択した場合でも、必要な復号キーやソフトウェアを受け取れる保証はありません。そのため、身代金の要求に屈しないことを強くお勧めします。そのような行為はファイルの回復を確実にできないだけでなく、違法行為の永続につながるからです。

システムから AeR ランサムウェアを削除することは、さらなるデータ暗号化を防ぐために重要ですが、このプロセスだけではすでに侵害されたファイルを復元できないことに注意することが重要です。主な解決策は、安全なバックアップが利用可能であれば、そのバックアップからファイルを回復することです。これは、効果的なサイバーセキュリティ戦略の不可欠な要素として、定期的かつ信頼性の高いバックアップ実践を維持することの重要性を強調しています。

AeR がポップアップ ウィンドウとして表示する身代金メモは次のとおりです。

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

ビットコインの入手方法
ビットコインを購入する最も簡単な方法は、LocalBitcoins サイトです。登録して「ビットコインを購入」をクリックし、支払い方法と価格で販売者を選択する必要があります。
hxxps://localbitcoins.com/buy_bitcoins
また、ビットコインを購入できる他の場所や初心者ガイドもここで見つけることができます。
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意！
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、料金が上昇したり（サードパーティの料金が当社の料金に追加されたり）、詐欺の被害者になる可能性があります。

この脅威によって生成されたテキスト ファイルには、次のメッセージが含まれています。

戻りたいですか？

電子メールを書いてください aerossh@nerdmail.co または aerossh@cock.li または aerossh@proton.me