Aurora Decrypter:勒索軟件解密器問世 - 成都數據恢複-成都AG娱乐數據恢複-成都權威數據恢複公司
發布:admin瀏覽次數:67更新時間:2019-01-15 13:19:49

Aurora Decrypter:勒索軟件解密器問世
 
 

 

勒索軟件近年數量增加最快的網絡安全威脅之一,是不法分子通過鎖屏、加密文件等方式劫持用戶資產或資源以此向用戶敲詐錢財的一種惡意軟件。而Aurora正是一種能夠感染Windows係統的勒索軟件,它會對用戶的文件進行加密,其中當前最活躍的版本是附加.Nano擴展名的變種。

Aurora勒索軟件

Aurora勒索軟件家族是通過運行遠程桌麵服務的計算機進行傳播的。一旦黑客們獲得了某台計算機的訪問權限,他們就會安裝勒索軟件,並對他們可以訪問的任何文件進行加密。一旦文件被加密,文件名將被附加一個.Nano擴展名,並在Windows桌麵和計算機上的各個文件夾中創建一份勒索票據。

自2018年夏開始,Aurora勒索軟件的最新變種 Zorro持續發酵。攻擊者會暴力破解RDP帳戶密碼,然後獲取電腦訪問權,進而安裝了勒索軟件。該勒索軟件是由網絡安全研究人員Michael Gillespie 和 Francesco Muroni 發現的。

安裝後,該勒索軟件會連接到一個C2服務器,接收數據和用於加密感染者文件的加密密鑰。其會連接到http://www.geoplugin.net/php.gp,基於IP地址來確定感染者所在國家。可執行文件中所發現的“Russia”字符串,不會對該國家的用戶進行加密攻擊。勒索軟件之後會掃描電腦尋找目標文件類型,如檢測到匹配文件,便會對其進行加密。

Aurora Decrypter:勒索軟件解密器問世
 
 

 

.Nano加密文件

Aurora Decrypter解密器

好消息是,這個勒索軟件係列的變種可以使用Michael Gillespie創建的解密器免費解密 。目前支持的加密類型是將以下擴展附加到加密文件名稱的勒索軟件變體:

Aurora Decrypter:勒索軟件解密器問世
 
 

 

Aurora勒索軟件的受害者最大的特征就是其文件被加密為.Nano、.animus、.Aurora、.desu、.ONI或.aurora擴展名。要解密Aurora勒索軟件加密的文件,首先需要下載Aurora Decryptor。

下載地址:https://www.bleepingcomputer.com/download/auroradecrypter/

Aurora Decrypter:勒索軟件解密器問世
 
 

 

下載完成後,隻需雙擊可執行文件即可啟動解密程序。

Aurora Decrypter:勒索軟件解密器問世
 
 

 

Aurora Decryptor解密器界麵

為了強製解密密鑰,AG娱乐需要兩種特定文件類型的加密文件。支持的文件類型包括:

Aurora Decrypter:勒索軟件解密器問世
 
 

 

找到上述文件類型後,單擊“Settings”菜單並選擇“ Bruteforcer”。如下圖所示:

Aurora Decrypter:勒索軟件解密器問世
 
 

 

選擇要破解的文件

選擇文件後,單擊“ Start”按鈕開始強製解密密鑰。這個過程可能需要一段時間,所以需要耐心等待。完成後,解密器將提示已找到解密密鑰。

Aurora Decrypter:勒索軟件解密器問世
 
 

 

發現解密密鑰

關閉BruteForcer窗口,密鑰將加載到解密器中,如下圖所示:

Aurora Decrypter:勒索軟件解密器問世
 
 

 

加載解密密鑰

現在通過單擊“Select Directory(選擇目錄)”來選擇要解密的目錄。如果希望解密整個驅動器,隻需選擇驅動器號本身。例如,在下圖中顯示的是選擇了C:\ drive。

Aurora Decrypter:勒索軟件解密器問世
 
 

 

選擇C盤驅動器

準備好後,單擊“Decrypt” 開始解密Aurora勒索軟件加密的文件。之後,該程序將解密所有加密文件並在窗口中顯示解密狀態。下麵中顯示了由Aurora的Nano變體加密的文件被解密。

Aurora Decrypter:勒索軟件解密器問世
 
 

 

解密Aurora加密文件

完成後,解密器將顯示已解密文件數量的摘要。如果某些文件被跳過,可能是由於對文件的權限所致。盡管多數文件現已解密,但原始的加密文件仍將保留在受害者的計算機上。用戶可以選擇自行刪除或存檔。