Aurora Decrypter:勒索软件解密器问世

Aurora Decrypter:勒索软件解密器问世

勒索软件近年数量增加最快的网络安全威胁之一,是不法分子通过锁屏、加密文件等方式劫持用户资产或资源以此向用户敲诈钱财的一种恶意软件。而Aurora正是一种能够感染Windows系统的勒索软件,它会对用户的文件进行加密,其中当前最活跃的版本是附加.Nano扩展名的变种。

Aurora勒索软件

Aurora勒索软件家族是通过运行远程桌面服务的计算机进行传播的。一旦黑客们获得了某台计算机的访问权限,他们就会安装勒索软件,并对他们可以访问的任何文件进行加密。一旦文件被加密,文件名将被附加一个.Nano扩展名,并在Windows桌面和计算机上的各个文件夹中创建一份勒索票据。

自2018年夏开始,Aurora勒索软件的最新变种 Zorro持续发酵。攻击者会暴力破解RDP帐户密码,然后获取电脑访问权,进而安装了勒索软件。该勒索软件是由网络安全研究人员Michael Gillespie 和 Francesco Muroni 发现的。

安装后,该勒索软件会连接到一个C2服务器,接收数据和用于加密感染者文件的加密密钥。其会连接到http://www.geoplugin.net/php.gp,基于IP地址来确定感染者所在国家。可执行文件中所发现的“Russia”字符串,不会对该国家的用户进行加密攻击。勒索软件之后会扫描电脑寻找目标文件类型,如检测到匹配文件,便会对其进行加密。

Aurora Decrypter:勒索软件解密器问世

.Nano加密文件

Aurora Decrypter解密器

好消息是,这个勒索软件系列的变种可以使用Michael Gillespie创建的解密器免费解密 。目前支持的加密类型是将以下扩展附加到加密文件名称的勒索软件变体:

Aurora Decrypter:勒索软件解密器问世

Aurora勒索软件的受害者最大的特征就是其文件被加密为.Nano、.animus、.Aurora、.desu、.ONI或.aurora扩展名。要解密Aurora勒索软件加密的文件,首先需要下载Aurora Decryptor。

下载地址:https://www.bleepingcomputer.com/download/auroradecrypter/

Aurora Decrypter:勒索软件解密器问世

下载完成后,只需双击可执行文件即可启动解密程序。

Aurora Decrypter:勒索软件解密器问世

Aurora Decryptor解密器界面

为了强制解密密钥,我们需要两种特定文件类型的加密文件。支持的文件类型包括:

Aurora Decrypter:勒索软件解密器问世

找到上述文件类型后,单击“Settings”菜单并选择“ Bruteforcer”。如下图所示:

Aurora Decrypter:勒索软件解密器问世

选择要破解的文件

选择文件后,单击“ Start”按钮开始强制解密密钥。这个过程可能需要一段时间,所以需要耐心等待。完成后,解密器将提示已找到解密密钥。

Aurora Decrypter:勒索软件解密器问世

发现解密密钥

关闭BruteForcer窗口,密钥将加载到解密器中,如下图所示:

Aurora Decrypter:勒索软件解密器问世

加载解密密钥

现在通过单击“Select Directory(选择目录)”来选择要解密的目录。如果希望解密整个驱动器,只需选择驱动器号本身。例如,在下图中显示的是选择了C:\ drive。

Aurora Decrypter:勒索软件解密器问世

选择C盘驱动器

准备好后,单击“Decrypt” 开始解密Aurora勒索软件加密的文件。之后,该程序将解密所有加密文件并在窗口中显示解密状态。下面中显示了由Aurora的Nano变体加密的文件被解密。

Aurora Decrypter:勒索软件解密器问世

解密Aurora加密文件

完成后,解密器将显示已解密文件数量的摘要。如果某些文件被跳过,可能是由于对文件的权限所致。尽管多数文件现已解密,但原始的加密文件仍将保留在受害者的计算机上。用户可以选择自行删除或存档。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133917.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code