AeR-Ransomware

AeR ist ein bedrohliches Programm, das gezielt darauf ausgelegt ist, Dateien auf kompromittierten Geräten zu verschlüsseln und für deren Entschlüsselung Lösegeldzahlungen verlangt. Die Entdeckung der AeR-Ransomware erfolgte im Rahmen gründlicher Analysen, die von Informationssicherheitsforschern bei der Untersuchung potenzieller Malware-Bedrohungen durchgeführt wurden.

Bei der Aktivierung auf den kompromittierten Geräten initiiert AeR den Verschlüsselungsprozess, der auf eine Vielzahl von Dateitypen abzielt und deren ursprüngliche Dateinamen ändert. Die ursprünglichen Titel der Dateien werden geändert, indem eine eindeutige, dem Opfer zugewiesene ID, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.AeR“ hinzugefügt werden. Zur Veranschaulichung: Eine ursprünglich als „1.doc“ gekennzeichnete Datei würde in „1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR“ umgewandelt werden.

Nach dem Verschlüsselungsprozess generiert die AeR-Ransomware zwei unterschiedliche Lösegeldforderungen. Textdateien mit dem Namen „info.txt“ werden strategisch auf dem Desktop und in den betroffenen Verzeichnissen platziert. Gleichzeitig wird in einem Popup-Fenster deutlich sichtbar eine Lösegeldforderung angezeigt. Bemerkenswert ist, dass die AeR-Ransomware als Teil der Dharma- Familie von Malware-Bedrohungen eingestuft wird, was auf ihre Verbindung mit einer bestimmten Linie bedrohlicher Software hinweist.

Die AeR-Ransomware nimmt die Dateien als Geisel und verlangt Lösegeld

Die von der AeR-Ransomware generierten Lösegeldscheine werden in zwei verschiedenen Formaten geliefert. Während die Textdatei mit dem Namen „info.txt“ das Opfer im Wesentlichen dazu auffordert, Kontakt zu den für den Angriff verantwortlichen Cyberkriminellen aufzunehmen, liefert das dazugehörige Popup-Fenster detailliertere Informationen zur Situation. Im Popup wird das Opfer darüber informiert, dass seine Dateien verschlüsselt wurden.

Die Lösegeldforderung im Popup-Fenster enthält Zusicherungen, dass eine Datenwiederherstellung möglich ist. Dies impliziert jedoch, dass der Entschlüsselungsprozess von der Zahlung eines Lösegelds in der Kryptowährung Bitcoin abhängt. Darüber hinaus wird dem Opfer eine begrenzte Möglichkeit geboten, den Entschlüsselungsprozess für bis zu drei Dateien nach bestimmten Kriterien zu testen. Die Nachricht schließt mit einer ausdrücklichen Warnung vor den Folgen einer Nichteinhaltung.

Die AeR-Ransomware wird als Teil der Dharma-Malware-Gruppe identifiziert, was auf ihre Verbindung mit einer bestimmten Linie bösartiger Software hinweist. Programme dieser Gruppe verfügen über die Fähigkeit, sowohl lokale als auch im Netzwerk freigegebene Dateien zu ändern oder zu verschlüsseln. Insbesondere nutzt die Dharma-Ransomware eine Strategie zur Beendigung von Prozessen, die mit geöffneten Dateien verknüpft sind, wie z. B. Textdatei-Reader oder Datenbankprogramme. Dieser Ansatz hilft der Ransomware, Ausnahmen von der Verschlüsselung zu umgehen, die auftreten können, weil der Inhalt als „genutzt“ gilt.

Bestimmte Daten werden automatisch vom Verschlüsselungsprozess ausgeschlossen, um mögliche Betriebsprobleme zu verhindern, z. B. Systemdateien, die bei Verschlüsselung dazu führen könnten, dass das Gerät nicht mehr betriebsbereit ist. Darüber hinaus werden Dateien, die bereits durch andere Ransomware gesperrt wurden, basierend auf einer vorgegebenen Malware-Liste von der Verschlüsselung ausgenommen. Allerdings ist dieser Mechanismus nicht fehlerfrei, da er nicht alle möglichen Programme vom Typ Ransomware umfasst und somit potenzielle Schwachstellen im Ausschlussprozess bestehen bleiben.

Die Dharma-Ransomware-Varianten etablieren Persistenzmechanismen

Die Dharma-Software nutzt verschiedene Techniken, um ihre Persistenz auf kompromittierten Systemen sicherzustellen. Eine Methode besteht darin, die Malware in den %LOCALAPPDATA%-Pfad zu kopieren und sie mit bestimmten Run-Schlüsseln zu registrieren, um die automatische Ausführung bei jedem Systemneustart zu ermöglichen. Um die Wiederherstellungsbemühungen weiter zu vereiteln, unternimmt die Ransomware den proaktiven Schritt, die Schattenkopien des Volumes zu löschen.

Zusätzlich zu diesen Persistenzmaßnahmen weisen Dharma-Programme ein gewisses Maß an Raffinesse auf, indem sie den geografischen Standort der Opfer berücksichtigen. Diese Funktionalität ermöglicht es ihnen, ihre Angriffe individuell anzupassen und Regionen mit wirtschaftlichen Herausforderungen zu vermeiden, in denen Privatanwender sich Lösegeldzahlungen möglicherweise weniger leisten können. Die Malware kann Ziele auch nach geopolitischen Gesichtspunkten auswählen.

Anhand umfangreicher Analysen und Untersuchungen zahlreicher Ransomware-Infektionen wird deutlich, dass die Entschlüsselung ohne Beteiligung der Angreifer in der Regel eine unüberwindbare Herausforderung darstellt. Selbst in Fällen, in denen sich Opfer dafür entscheiden, das Lösegeld zu zahlen, gibt es keine Garantie dafür, dass sie die erforderlichen Entschlüsselungsschlüssel oder Software erhalten. Daher wird dringend davon abgeraten, Lösegeldforderungen nachzugeben, da solche Maßnahmen nicht nur die Wiederherstellung der Dateien nicht gewährleisten, sondern auch zur Aufrechterhaltung illegaler Aktivitäten beitragen.

Während die Entfernung der AeR-Ransomware aus dem System von entscheidender Bedeutung ist, um eine weitere Datenverschlüsselung zu verhindern, ist es wichtig zu beachten, dass dieser Prozess allein bereits kompromittierte Dateien nicht wiederherstellen kann. Die primäre Lösung besteht darin, Dateien aus einem sicheren Backup wiederherzustellen, sofern eines verfügbar ist. Dies unterstreicht die Bedeutung der Aufrechterhaltung regelmäßiger und zuverlässiger Backup-Praktiken als integraler Bestandteil einer effektiven Cybersicherheitsstrategie.

Der Lösegeldschein, den AeR als Popup-Fenster anzeigt, lautet:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die Website LocalBitcoins. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Weitere Orte zum Kauf von Bitcoins und einen Leitfaden für Anfänger finden Sie hier:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu höheren Kosten führen (sie berechnen ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

Die von der Bedrohung generierten Textdateien enthalten die folgende Meldung:

Du möchtest zurückkehren?

Schreiben Sie eine E-Mail an aerossh@nerdmail.co oder aerossh@cock.li oder aerossh@proton.me.