Что такое Aurora Ransomware
Программа-вымогатель Aurora (иногда называется Программа-вымогатель OneKeyLocker) - новый криптовирус, который начал распространяться в сети с конца мая 2018 года. Вирус в основном нацелен на западные страны, однако некоторые версии были распространены в Турции. Он использует алгоритм DES для кодирования файлов и добавляет .аврора расширение, после чего и получило свое название. С тех пор у вредоносного ПО было множество обновлений и модификаций. Программа-вымогатель теперь также добавляет следующие расширения: .нано, .криптоид, .пикабу и изолированный. После шифрования программа-вымогатель создает разные текстовые файлы (в зависимости от версии), содержащие записку о выкупе с контактной информацией и инструкциями:
HOW_TO_DECRYPT_YOUR_FILES.txt, #RECOVERY-PC#.txt, !-GET_MY_FILES-!.txt, _RECOVERY_FILES_.txt, #RECOVERY_FILES#.txt, CRYPTOID_BLOCKED.txt, CRYPTOID_MESSAGE.txt, CRYPTOID_HELP.txt, @@_BENI_OKU_@@.txt, @@_DIKKAT_@@.txt, @@_SILINEN_VERILER_@@.txt, @@_HELPER_@@.txt, @@_READ_ME_@@.txt, @@_TAKE_A_LOOK_@@.txt
Использована первоначальная версия anonimus.mr@yahoo.com электронная почта для связи, последние версии переключены на следующие адреса электронной почты:
big.fish@vfemail.net, oktropys@protonmail.com, Nano18@airmail.cc, IamBaronSaturday@gmail.com, rickastley@keemail.me, krkcdkkn@gmail.com, perdrolan@cock.li, testodin@cock.li
Вот содержимое файлов с записками о выкупе:
==========================# aurora ransomware #==========================
SORRY! Your files are encrypted.
File contents are encrypted with random key.
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
big.fish@vfemail.net
And send me your id, your id:
***
And pay 200$ on 1GSbmCoKzkHVkSUxqdSH5t8SxJQVnQCeYf wallet
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
==========================# aurora ransomware #==========================
$$$$$$$$$$$$$$$$$$$$$$$$> PEEKABOO <$$$$$$$$$$$$$$$$$$$$$$$$
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
--
In order to get private key, write here: perdrolan@cock.li
===========
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
without it we will not be able to decrypt your files
===========
And pay $300 on BTC-wallet: 1NkjBNF7fmpRsX4WjokUie21m8bv9xvRKs
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
$$$$$$$$$$$$$$$$$$$$$$$$> PEEKABOO <$$$$$$$$$$$$$$$$$$$$$$$$
$$$$$$$$$$$$$$$$$> CRYPTO LOCKER <$$$$$$$$$$$$$$$$$
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If someone else offers you files restoring, ask him for one file decryption.
If you decide to decrypt files, for a have to get RSA private key.
To get the RSA key, follow these steps in order:
Pay of the ransom cost:
1. $100 in the first 24 hours, $200 before and after 48 hours.
Pay the stated amount to this BTC-purse:
>>> 19byE1fxToZXcmfXixFZmRy9E9i1QFYmLv <<<
2. Write on the testodin@cock.li,
specifying a link to the BTC-transaction in the message.
===========
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
without it we will not be able to decrypt your files.
===========
In the reply letter you will receive a unique decoder and instructions
on what to do next. Only we can successfully decrypt your files.
You will receive instructions of what to do next.
We guarantee you file recovery if you do it right.
$$$$$$$$$$$$$$$$$> CRYPTO LOCKER <$$$$$$$$$$$$$$$$$
Обычно за вирусы этого типа требуется от 100 до 500 долларов в биткойнах. На данный момент существует общедоступный инструмент дешифрования под названием EmsiSoft Decrypter для Aurora имеется в наличии. Он умеет расшифровывать файлы, зашифрованные всеми версиями этого вируса. Если восстановить данные не удается, полное восстановление возможно только с помощью резервных копий. Вы можете сохранить свои файлы до тех пор, пока не будет создан настоящий дешифратор. Некоторые данные можно восстановить, используя инструкции на этой странице. Это руководство было написано, чтобы помочь пользователям удалить Aurora Ransomware и расшифровать файлы .aurora, .cryptoid, .peekaboo или .isolated в Windows 10, Windows 8 или Windows 7.
Как Aurora Ransomware заразила ваш компьютер
Вирус Aurora Ransomware распространяется через зараженные веб-сайты. На зараженных сайтах обнаруживается JSCoinminer, на компьютеры посетителей проводится веб-атака. Может также распространяться путем взлома через незащищенную конфигурацию RDP, с использованием спама в электронной почте и вредоносных вложений, мошеннических загрузок, эксплойтов, веб-инъекций, поддельных обновлений, переупакованных и зараженных установщиков. Вирус присваивает жертвам определенный идентификатор, который используется для именования этих файлов и, предположительно, для отправки ключа дешифрования. Для предотвращения заражения этим типом угроз в будущем рекомендуем использовать SpyHunter 5 or антивирусная программа Нортона.
Скачать утилиту для удаления Aurora Ransomware
Чтобы полностью удалить Aurora Ransomware, мы рекомендуем вам использовать SpyHunter 5 от EnigmaSoft Limited. Он обнаруживает и удаляет все файлы, папки и ключи реестра Aurora Ransomware.
Как удалить Aurora Ransomware вручную
Не рекомендуется удалять Aurora Ransomware вручную, для более безопасного решения используйте вместо этого Инструменты для удаления.
Файлы Aurora Ransomware:
White.exe (WhiteRose.exe)
HOW_TO_DECRYPT_YOUR_FILES.txt
HOW_TO_DECRYPT_YOUR_FILES2.txt
HOW_TO_DECRYPT_YOUR_FILES3.txt
HOW_TO_DECRYPT_YOUR_FILES4.txt
HOW_TO_DECRYPT_YOUR_FILES5.txt
HOW_TO_DECRYPT_YOUR_FILES6.txt
List.exe
hack.exe
java.exe
regedit.exe
Ключи реестра Aurora Ransomware:
no information
Как расшифровать и восстановить файлы .aurora, .cryptoid, .peekaboo или .isolated
Используйте автоматические дешифраторы
Используйте следующий инструмент от EmsiSoft под названием EmsiSoft Decrypter для Aurora, который может расшифровать файлы .aurora, .cryptoid, .peekaboo или .isolated. Загрузите его здесь:
Прочтите следующее руководство о том, как использовать этот инструмент для правильной расшифровки ваших данных: >> Как использовать Emsisoft Decrypter для Aurora.
Нет смысла платить выкуп, так как нет никакой гарантии, что вы получите ключ, плюс вы подвергнете риску свои банковские данные.
Если вы заразились Aurora Ransomware и удалили его со своего компьютера, вы можете попытаться расшифровать свои файлы. Поставщики антивирусов и частные лица создают бесплатные дешифраторы для некоторых крипто-шкафчиков. Чтобы попытаться расшифровать их вручную, вы можете сделать следующее:
Используйте Stellar Data Recovery Professional для восстановления файлов .aurora, .cryptoid, .peekaboo или .isolated
- Скачать Stellar Data Recovery Professional.
- Нажмите Recover Data .
- Выберите тип файлов, которые хотите восстановить, и нажмите на Следующая .
- Выберите место, откуда хотите восстановить файлы, и нажмите Сканировать .
- Просмотрите найденные файлы, выберите те, которые хотите восстановить, и нажмите Recover.
Использование опции предыдущих версий файлов в Windows:
- Щелкните на зараженный файл правой кнопкой мыши и выберите Объекты.
- Выберите Предыдущие версии меню.
- Выберите конкретную версию файла и нажмите Копировать.
- Чтобы восстановить выбранный файл и заменить существующий, нажмите на Восстановить .
- Если в списке нет элементов, выберите альтернативный метод.
Использование Shadow Explorer:
- Скачать Shadow Explorer программу.
- Запустите ее, и вы увидите на экране список всех дисков и даты создания теневых копий.
- Выберите диск и дату, с которой вы хотите восстановить.
- Щелкните правой кнопкой мыши на имя папки и выберите Экспортировать.
- Если в списке нет других дат, выберите альтернативный метод.
Если вы используете Dropbox:
- Войдите на сайт DropBox и перейдите в папку, содержащую зашифрованные файлы.
- Щелкните правой кнопкой мыши на зашифрованный файл и выберите Предыдущие версии.
- Выберите версию файла, которую хотите восстановить, и нажмите на Восстановить .
Как защитить компьютер от вирусов, таких как Aurora Ransomware, в будущем
1. Получите специальное программное обеспечение для защиты от программ-вымогателей.
Используйте ZoneAlarm Anti-Ransomware
Известный антивирусный бренд ZoneAlarm от Check Point выпустил комплексный инструмент, который поможет с активной защитой от программ-вымогателей. Он также будет отличным дополнением к вашей текущей защите. Инструмент обеспечивает мгновенную защиту от программ-вымогателей и позволяет восстанавливать файлы. ZoneAlarm Anti-Ransomware работает со всеми другими антивирусами, брандмауэрами и антивирусным ПО, кроме продуктов ZoneAlarm Extreme (поскольку в нем уже встроен ZoneAlarm Anti-Ransomware) или Check Point Endpoint . Убойные функции этой программы: автоматическое восстановление файлов, защита от перезаписи, которая мгновенно и автоматически восстанавливает любые зашифрованные файлы, а также блокирует даже неизвестные вирусы-шифровальщики.
2. Создайте резервную копию файлов.
Вне зависимости от установленной защиты от программ-вымогателей, вы можете сохранять свои файлы с помощью простого онлайн-резервного копирования. Облачные сервисы сейчас довольно быстрые и дешевые. Более разумно использовать онлайн-резервное копирование, чем создавать физические диски, которые могут быть заражены и зашифрованы при подключении к ПК или повреждены при падении или ударе. Пользователи Windows 10 и 8 / 8.1 могут найти уже предустановленное приложение OneDrive для резервного копирования от Microsoft. На самом деле это одна из лучших служб резервного копирования на рынке с доступными ценами. Пользователи более ранних версий могут ознакомиться с ним здесь.Обязательно делайте резервные копии и синхронизируйте наиболее важные файлы и папки в OneDrive.
3. Не открывайте спам-сообщения и защищайте свой почтовый ящик.
Вредоносные вложения в спам или фишинговые сообщения электронной почты - самый популярный способ распространения программ-вымогателей. Использование спам-фильтров и создание правил защиты от спама - является хорошей практикой. MailWasher Pro - один из мировых лидеров в области защиты от спама. Он работает с различными настольными приложениями и обеспечивает очень высокий уровень защиты от спама.