Che cos'è Aurora Ransomware
Aurora ransomware (a volte chiamato OneKeyLocker ransomware) è un nuovo cripto-virus, che ha iniziato a circolare sul web dalla fine di maggio 2018. Il virus punta principalmente ai paesi occidentali, tuttavia alcune versioni sono state diffuse in Turchia. Utilizza l'algoritmo DES per codificare i file e aggiunge .alba estensione, da cui prende il nome. Da allora, il malware ha avuto più aggiornamenti e modifiche. Il ransomware ora aggiunge anche le seguenti estensioni: .nano, .criptoide, .peekaboo ed .isolato. Dopo la crittografia, il ransomware crea diversi file di testo (a seconda della versione), contenenti una richiesta di riscatto con informazioni di contatto e istruzioni:
HOW_TO_DECRYPT_YOUR_FILES.txt, #RECOVERY-PC#.txt, !-GET_MY_FILES-!.txt, _RECOVERY_FILES_.txt, #RECOVERY_FILES#.txt, CRYPTOID_BLOCKED.txt, CRYPTOID_MESSAGE.txt, CRYPTOID_HELP.txt, @@_BENI_OKU_@@.txt, @@_DIKKAT_@@.txt, @@_SILINEN_VERILER_@@.txt, @@_HELPER_@@.txt, @@_READ_ME_@@.txt, @@_TAKE_A_LOOK_@@.txt
Versione iniziale utilizzata anonimus.mr@yahoo.com e-mail per la comunicazione, le versioni recenti sono passate ai seguenti indirizzi e-mail:
big.fish@vfemail.net, oktropys@protonmail.com, Nano18@airmail.cc, IamBaronSaturday@gmail.com, rickastley@keemail.me, krkcdkkn@gmail.com, perdrolan@cock.li, testodin@cock.li
Ecco il contenuto dei file della richiesta di riscatto:
==========================# aurora ransomware #==========================
SORRY! Your files are encrypted.
File contents are encrypted with random key.
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
big.fish@vfemail.net
And send me your id, your id:
***
And pay 200$ on 1GSbmCoKzkHVkSUxqdSH5t8SxJQVnQCeYf wallet
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
==========================# aurora ransomware #==========================
$$$$$$$$$$$$$$$$$$$$$$$$> PEEKABOO <$$$$$$$$$$$$$$$$$$$$$$$$
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
--
In order to get private key, write here: perdrolan@cock.li
===========
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
without it we will not be able to decrypt your files
===========
And pay $300 on BTC-wallet: 1NkjBNF7fmpRsX4WjokUie21m8bv9xvRKs
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
$$$$$$$$$$$$$$$$$$$$$$$$> PEEKABOO <$$$$$$$$$$$$$$$$$$$$$$$$
$$$$$$$$$$$$$$$$$> CRYPTO LOCKER <$$$$$$$$$$$$$$$$$
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If someone else offers you files restoring, ask him for one file decryption.
If you decide to decrypt files, for a have to get RSA private key.
To get the RSA key, follow these steps in order:
Pay of the ransom cost:
1. $100 in the first 24 hours, $200 before and after 48 hours.
Pay the stated amount to this BTC-purse:
>>> 19byE1fxToZXcmfXixFZmRy9E9i1QFYmLv <<<
2. Write on the testodin@cock.li,
specifying a link to the BTC-transaction in the message.
===========
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
without it we will not be able to decrypt your files.
===========
In the reply letter you will receive a unique decoder and instructions
on what to do next. Only we can successfully decrypt your files.
You will receive instructions of what to do next.
We guarantee you file recovery if you do it right.
$$$$$$$$$$$$$$$$$> CRYPTO LOCKER <$$$$$$$$$$$$$$$$$
Di solito, i virus di questo tipo richiedono $ 100 - $ 500 in BitCoin. Al momento, esiste uno strumento di decrittazione pubblico chiamato EmsiSoft Decrypter per Aurora a disposizione. È in grado di decrittografare i file crittografati da tutte le versioni di questo virus. Se non è possibile ripristinare i dati, il ripristino completo è possibile solo con l'aiuto dei backup. Puoi conservare i tuoi file fino a quando non verrà creato il decryptor effettivo. Alcuni dati possono essere eventualmente ripristinati utilizzando le istruzioni in questa pagina. Questo tutorial è stato scritto per aiutare gli utenti a rimuovere Aurora Ransomware e decrittografare i file .aurora, .cryptoid, .peekaboo o .isolated in Windows 10, Windows 8 o Windows 7.
In che modo Aurora Ransomware ha infettato il tuo PC
Il virus Aurora Ransomware si diffonde tramite siti Web infetti. Sui siti infetti, viene rilevato JSCoinminer, viene condotto un attacco Web sui computer dei visitatori. Può anche essere distribuito hackerando attraverso una configurazione RDP non protetta, utilizzando spam e-mail e allegati dannosi, download fraudolenti, exploit, iniezioni web, aggiornamenti falsi, programmi di installazione riconfezionati e infetti. Virus assegna un determinato ID alle vittime, che viene utilizzato per denominare quei file e presumibilmente per inviare la chiave di decrittazione. Al fine di prevenire l'infezione con questo tipo di minacce in futuro, ti consigliamo di utilizzare SpyHunter 5 or Norton Antivirus.
Scarica lo strumento di rimozione di Aurora Ransomware
Per rimuovere completamente Aurora Ransomware, ti consigliamo di utilizzare SpyHunter 5 da EnigmaSoft Limited. Rileva e rimuove tutti i file, cartelle e chiavi di registro di Aurora Ransomware.
Come rimuovere Aurora Ransomware manualmente
Non è consigliabile rimuovere Aurora Ransomware manualmente, per una soluzione più sicura utilizzare invece gli strumenti di rimozione.
File di Aurora Ransomware:
White.exe (WhiteRose.exe)
HOW_TO_DECRYPT_YOUR_FILES.txt
HOW_TO_DECRYPT_YOUR_FILES2.txt
HOW_TO_DECRYPT_YOUR_FILES3.txt
HOW_TO_DECRYPT_YOUR_FILES4.txt
HOW_TO_DECRYPT_YOUR_FILES5.txt
HOW_TO_DECRYPT_YOUR_FILES6.txt
List.exe
hack.exe
java.exe
regedit.exe
Chiavi di registro di Aurora Ransomware:
no information
Come decrittografare e ripristinare file .aurora, .cryptoid, .peekaboo o .isolated
Usa decryptor automatici
Usa il seguente strumento di EmsiSoft chiamato EmsiSoft Decrypter per Aurora, che può decifrare file .aurora, .cryptoid, .peekaboo o .isolated. Scaricalo qui:
Leggi la seguente guida su come utilizzare questo strumento per decrittografare i tuoi dati in modo corretto: >> Come utilizzare Emsisoft Decrypter per Aurora.
Non vi è alcuno scopo per pagare il riscatto perché non vi è alcuna garanzia che riceverete la chiave, ma mettete a rischio le vostre credenziali bancarie.
Se sei stato infettato da Aurora Ransomware e lo hai rimosso dal tuo computer, puoi provare a decrittografare i tuoi file. I fornitori di antivirus e gli individui creano decryptor gratuiti per alcuni crypto-locker. Per tentare di decrittografarli manualmente puoi fare quanto segue:
Usa Stellar Data Recovery Professional per ripristinare i file .aurora, .cryptoid, .peekaboo o .isolated
- Scaricare Stellar Data Recovery Professional.
- Clicchi Recuperare dati pulsante.
- Seleziona il tipo di file che desideri ripristinare e fai clic Avanti pulsante.
- Scegli la posizione da cui desideri ripristinare i file e fai clic Scannerizzare pulsante.
- Visualizza l'anteprima dei file trovati, scegli quelli che ripristinerai e fai clic Recuperare.
Utilizzo dell'opzione Versioni precedenti di Windows:
- Fare clic con il tasto destro sul file infetto e scegliere Properties.
- Seleziona Versioni precedenti scheda.
- Scegli una versione particolare del file e fai clic Copia.
- Per ripristinare il file selezionato e sostituire quello esistente, fare clic su Ripristinare pulsante.
- Nel caso in cui non ci siano elementi nell'elenco, scegliere un metodo alternativo.
Utilizzando di Shadow Explorer:
- Scaricare Shadow Explorer .
- Eseguilo e vedrai l'elenco delle schermate di tutte le unità e le date in cui è stata creata la copia shadow.
- Seleziona l'unità e la data da cui desideri eseguire il ripristino.
- Fare clic con il tasto destro sul nome di una cartella e selezionare Esportare.
- Nel caso in cui non ci siano altre date nell'elenco, scegli un metodo alternativo.
Se utilizzi Dropbox:
- Accedi al sito Web di DropBox e vai alla cartella che contiene i file crittografati.
- Fare clic con il tasto destro sul file crittografato e selezionare Versioni precedenti.
- Seleziona la versione del file che desideri ripristinare e fai clic su Ripristinare pulsante.
Come proteggere il computer dai virus, come Aurora Ransomware, in futuro
1. Ottieni uno speciale software anti-ransomware
Usa ZoneAlarm Anti-Ransomware
Famoso marchio antivirus ZoneAlarm by Check Point ha rilasciato uno strumento completo, che ti aiuterà con la protezione anti-ransomware attiva, come scudo aggiuntivo alla tua protezione attuale. Lo strumento fornisce protezione Zero-Day contro il ransomware e consente di recuperare i file. ZoneAlarm Anti-Ransomware è compatibile con tutti gli altri antivirus, firewall e software di sicurezza tranne ZoneAlarm Extreme (già fornito con ZoneAlarm Anti-Ransomware) o Check Point Endpoint prodotti. Le caratteristiche killer di questa applicazione sono: ripristino automatico dei file, protezione da sovrascrittura che ripristina istantaneamente e automaticamente tutti i file crittografati, protezione dei file che rileva e blocca anche i crittografi sconosciuti.
2. Eseguire il backup dei file
Indipendentemente dal successo della protezione contro le minacce ransomware, è possibile salvare i file utilizzando un semplice backup online. I servizi cloud sono abbastanza veloci ed economici al giorno d'oggi. Ha più senso usare il backup online, piuttosto che creare unità fisiche, che possono essere infettate e crittografate quando sono collegate al PC o danneggiate da cadute o urti. Gli utenti di Windows 10 e 8 / 8.1 possono trovare la soluzione di backup OneDrive preinstallata di Microsoft. In realtà è uno dei migliori servizi di backup sul mercato e ha piani tariffari ragionevoli. Gli utenti delle versioni precedenti possono prenderne conoscenza qui. Assicurati di eseguire il backup e sincronizzare i file e le cartelle più importanti in OneDrive.
3. Non aprire le e-mail di spam e proteggere la tua casella di posta
Gli allegati dannosi alle e-mail di spam o phishing sono il metodo più diffuso di distribuzione del ransomware. Utilizzare filtri antispam e creare regole antispam è una buona pratica. Uno dei leader mondiali nella protezione anti-spam è MailWasher Pro. Funziona con varie applicazioni desktop e fornisce un livello molto elevato di protezione anti-spam.