AeR Ransomware

AeR es un programa amenazante diseñado estratégicamente para cifrar archivos en dispositivos comprometidos y exige pagos de rescate por su descifrado. El descubrimiento del ransomware AeR se produjo durante análisis exhaustivos realizados por investigadores de seguridad de la información mientras investigaban posibles amenazas de malware.

Tras la activación dentro de los dispositivos comprometidos, AeR inicia el proceso de cifrado, apuntando a una amplia gama de tipos de archivos y modificando sus nombres de archivos originales. Los títulos iniciales de los archivos sufren una transformación, con la adición de una identificación única asignada a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión '.AeR'. A modo de ejemplo, un archivo originalmente etiquetado como '1.doc' se transformaría en '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Después del proceso de cifrado, AeR Ransomware genera dos notas de rescate distintas. Los archivos de texto denominados 'info.txt' se colocan estratégicamente en el escritorio y dentro de los directorios afectados. Al mismo tiempo, se muestra de forma destacada un mensaje que exige un rescate en una ventana emergente. Cabe destacar que AeR Ransomware está clasificado como parte de la familia Dharma de amenazas de malware, lo que indica su asociación con un linaje específico de software amenazante.

El ransomware AeR toma los archivos como rehenes y exige un rescate

Las notas de rescate generadas por AeR Ransomware se entregan en dos formatos diferentes. Mientras que el archivo de texto llamado 'info.txt' esencialmente insta a la víctima a establecer contacto con los ciberdelincuentes responsables del ataque, la ventana emergente que lo acompaña proporciona información más detallada sobre la situación. En la ventana emergente, se informa a la víctima que sus archivos han sido cifrados.

El mensaje de rescate en la ventana emergente incluye garantías de que la recuperación de datos es factible. Aun así, implica que el proceso de descifrado depende del pago de un rescate en criptomoneda Bitcoin. Además, a la víctima se le ofrece una oportunidad limitada de probar el proceso de descifrado de hasta tres archivos, sujeto a criterios específicos. El mensaje concluye con advertencias explícitas sobre las consecuencias del incumplimiento.

El AeR Ransomware se identifica como parte del grupo de malware Dharma, lo que indica su asociación con un linaje específico de software malicioso. Los programas dentro de este grupo exhiben la capacidad de modificar o cifrar archivos tanto locales como compartidos en red. En particular, Dharma Ransomware emplea una estrategia para finalizar procesos vinculados a archivos abiertos, como lectores de archivos de texto o programas de bases de datos. Este enfoque ayuda al ransomware a evadir las exenciones de cifrado que pueden ocurrir debido a que el contenido se considera "en uso".

Ciertos datos se excluyen automáticamente del proceso de cifrado para evitar posibles problemas operativos, como archivos del sistema que, si se cifran, podrían hacer que el dispositivo no funcione. Además, los archivos que ya están bloqueados por otro ransomware están exentos del cifrado según una lista de malware predeterminada. Sin embargo, este mecanismo no es perfecto, ya que no abarca todos los posibles programas de tipo ransomware, dejando posibles vulnerabilidades en el proceso de exclusión.

Las variantes de Dharma Ransomware establecen mecanismos de persistencia

El software Dharma emplea varias técnicas para garantizar su persistencia en sistemas comprometidos. Un método consiste en copiar el malware en la ruta %LOCALAPPDATA% y registrarlo con claves de ejecución específicas, lo que permite la ejecución automática en cada reinicio del sistema. Para frustrar aún más los esfuerzos de recuperación, el ransomware toma la medida proactiva de eliminar las instantáneas de volumen.

Además de estas medidas de persistencia, los programas de Dharma exhiben un nivel de sofisticación al considerar la geolocalización de las víctimas. Esta funcionalidad les permite personalizar sus ataques, evitando regiones con desafíos económicos donde los usuarios domésticos tienen menos probabilidades de pagar un rescate. El malware también puede seleccionar objetivos basándose en consideraciones geopolíticas.

Basándose en un análisis e investigación exhaustivos de numerosas infecciones de ransomware, resulta evidente que el descifrado sin la participación de los atacantes suele ser un desafío insuperable. Incluso en los casos en que las víctimas optan por pagar el rescate, no hay garantía de recibir las claves o el software de descifrado necesarios. Como resultado, se desaconseja encarecidamente sucumbir a las demandas de rescate, ya que tales acciones no sólo no garantizan la recuperación de archivos sino que también contribuyen a la perpetuación de actividades ilegales.

Si bien la eliminación de AeR Ransomware del sistema es crucial para evitar un mayor cifrado de datos, es esencial tener en cuenta que este proceso por sí solo no restaurará los archivos ya comprometidos. La solución principal radica en recuperar archivos a partir de una copia de seguridad segura, suponiendo que haya una disponible. Esto subraya la importancia de mantener prácticas de respaldo periódicas y confiables como componente integral de una estrategia de ciberseguridad eficaz.

La nota de rescate que AeR muestra como una ventana emergente es:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Cómo obtener Bitcoins
La forma más sencilla de comprar bitcoins es el sitio LocalBitcoins. Tienes que registrarte, hacer clic en 'Comprar bitcoins' y seleccionar el vendedor por método de pago y precio.
hxxps://localbitcoins.com/buy_bitcoins
También puedes encontrar otros lugares para comprar Bitcoins y una guía para principiantes aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos utilizando software de terceros, ya que puede provocar una pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede provocar un aumento del precio (ellos añaden su tarifa a la nuestra) o puede convertirse en víctima de una estafa.

Los archivos de texto generados por la amenaza contienen el siguiente mensaje:

¿Quieres volver?

escriba el correo electrónico aerossh@nerdmail.co o aerossh@cock.li o aerossh@proton.me'