AeR Ransomware

AeR est un programme menaçant conçu stratégiquement pour crypter des fichiers sur des appareils compromis, exigeant le paiement d'une rançon pour leur décryptage. La découverte du ransomware AeR a eu lieu lors d'analyses approfondies menées par des chercheurs en sécurité de l'information lors d'enquêtes sur les menaces potentielles de logiciels malveillants.

Lors de l'activation sur les appareils compromis, AeR lance le processus de cryptage, ciblant un large éventail de types de fichiers et modifiant leurs noms de fichiers d'origine. Les titres initiaux des fichiers subissent une transformation, avec l'ajout d'un identifiant unique attribué à la victime, de l'adresse email appartenant aux cybercriminels et de l'extension « .AeR ». Pour illustrer, un fichier initialement étiqueté comme « 1.doc » serait transformé en « 1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR ».

Suite au processus de cryptage, AeR Ransomware génère deux notes de rançon distinctes. Les fichiers texte nommés « info.txt » sont placés stratégiquement sur le bureau et dans les répertoires concernés. Simultanément, un message exigeant une rançon s’affiche bien en évidence dans une fenêtre contextuelle. Il convient de noter que AeR Ransomware est classé comme faisant partie de la famille des menaces de logiciels malveillants Dharma , ce qui indique son association avec une lignée spécifique de logiciels menaçants.

Le ransomware AeR prend les fichiers en otage et exige une rançon

Les notes de rançon générées par AeR Ransomware sont livrées dans deux formats différents. Alors que le fichier texte nommé « info.txt » invite essentiellement la victime à établir un contact avec les cybercriminels responsables de l'attaque, la fenêtre contextuelle qui l'accompagne fournit des informations plus détaillées sur la situation. Dans la pop-up, la victime est informée que ses fichiers ont été cryptés.

Le message de rançon dans la fenêtre contextuelle inclut l'assurance que la récupération des données est réalisable. Néanmoins, cela implique que le processus de décryptage dépend du paiement d’une rançon en crypto-monnaie Bitcoin. De plus, la victime se voit offrir une possibilité limitée de tester le processus de décryptage pour un maximum de trois fichiers, sous réserve de critères spécifiques. Le message se termine par des avertissements explicites concernant les conséquences du non-respect.

L'AeR Ransomware est identifié comme faisant partie du groupe de logiciels malveillants Dharma, indiquant son association avec une lignée spécifique de logiciels malveillants. Les programmes de ce groupe présentent la capacité de modifier ou de chiffrer des fichiers locaux et partagés sur le réseau. Notamment, Dharma Ransomware utilise une stratégie consistant à mettre fin aux processus liés aux fichiers ouverts, tels que les lecteurs de fichiers texte ou les programmes de bases de données. Cette approche aide le ransomware à échapper aux exemptions de chiffrement qui peuvent survenir en raison du contenu considéré comme « en cours d'utilisation ».

Certaines données sont automatiquement exclues du processus de cryptage pour éviter d'éventuels problèmes opérationnels, tels que les fichiers système, qui, s'ils sont cryptés, pourraient rendre l'appareil non opérationnel. De plus, les fichiers déjà verrouillés par d'autres ransomwares sont exemptés du cryptage sur la base d'une liste de logiciels malveillants prédéterminée. Cependant, ce mécanisme n’est pas sans faille, car il n’englobe pas tous les programmes possibles de type ransomware, laissant ainsi place à des vulnérabilités potentielles dans le processus d’exclusion.

Les variantes du Dharma Ransomware établissent des mécanismes de persistance

Le logiciel Dharma utilise diverses techniques pour assurer sa persistance sur les systèmes compromis. Une méthode consiste à copier le logiciel malveillant sur le chemin %LOCALAPPDATA% et à l'enregistrer avec des clés d'exécution spécifiques, permettant une exécution automatique à chaque redémarrage du système. Pour contrecarrer davantage les efforts de récupération, le ransomware prend la mesure proactive de suppression des copies fantômes de volume.

En plus de ces mesures de persévérance, les programmes Dharma présentent un niveau de sophistication en prenant en compte la géolocalisation des victimes. Cette fonctionnalité leur permet d'adapter leurs attaques, en évitant les régions confrontées à des difficultés économiques où les utilisateurs à domicile peuvent être moins susceptibles de payer une rançon. Le malware peut également sélectionner des cibles en fonction de considérations géopolitiques.

S'appuyant sur des analyses et des recherches approfondies sur de nombreuses infections par ransomware, il devient évident que le décryptage sans l'implication des attaquants est généralement un défi insurmontable. Même dans les cas où les victimes choisissent de payer la rançon, il n’y a aucune garantie de recevoir les clés ou les logiciels de décryptage nécessaires. Par conséquent, il est fortement déconseillé de succomber aux demandes de rançon, car de telles actions non seulement ne garantissent pas la récupération des fichiers, mais contribuent également à la perpétuation d’activités illégales.

Bien que la suppression d'AeR Ransomware du système soit cruciale pour empêcher un cryptage ultérieur des données, il est essentiel de noter que ce processus à lui seul ne restaurera pas les fichiers déjà compromis. La principale solution consiste à récupérer des fichiers à partir d'une sauvegarde sécurisée, en supposant qu'elle soit disponible. Cela souligne l’importance de maintenir des pratiques de sauvegarde régulières et fiables en tant que partie intégrante d’une stratégie de cybersécurité efficace.

La demande de rançon qu'AeR affiche sous forme de fenêtre contextuelle est :

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Comment obtenir des Bitcoins
Le moyen le plus simple d’acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur « Acheter des bitcoins » et sélectionner le vendeur par mode de paiement et prix.
hxxps://localbitcoins.com/buy_bitcoins
Vous pouvez également trouver d’autres endroits pour acheter des Bitcoins et un guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation de prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque.

Les fichiers texte générés par la menace contiennent le message suivant :

Tu veux revenir ?

écrivez un e-mail à aerossh@nerdmail.co ou aerossh@cock.li ou aerossh@proton.me'