【工具分享】Aurora勒索病毒解密工具

前言

Aurora 是一个使用 XTEA 和 RSA 加密文件的勒索软件系列，也可能被称为“Zorro”、“Desu”或“AnimusLocker”。已知的扩展名包括".Aurora", ".aurora", ".animus", ".ONI", ".Nano", ".cryptoid", ".peekaboo", ".isolated", ".infected", ".locked", ".veracrypt", ".masked", ".crypton", ".coronolock", ".bukyak", ".serpom", and ".systems32x"。

特征

该恶意软件会留下许多赎金记录，例如"!-GET_MY_FILES-!.txt", "#RECOVERY-PC#.txt", and "@RESTORE-FILES@.txt"。以下是注释内容的示例：

==========================# zorro ransomware #==========================
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you need to get the RSA-key from us.
--
To obtain an RSA-key, follow these steps in order:
1. pay this sum 500$  to this BTC-purse: 18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac
2. write on the e-mail ochennado@tutanota.com or anastacialove21@mail.com indicating in the letter this ID-[id] and BTC-purse, from which paid.
In the reply letter you will receive an RSA-key and instructions on what to do next.
We guarantee you the recovery of files, if you do it right.
==========================# zorro ransomware #==========================

工具使用说明

重要提示：请务必先将恶意软件与系统隔离开来，否则它可能会反复锁定您的系统或加密文件。如果您当前的防病毒解决方案无法检测到恶意软件，则可以使用 Emsisoft Anti-Malware 的免费试用版对其进行隔离。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议更改允许远程登录的所有用户的所有密码，并检查本地用户账户中是否有攻击者可能添加的其他账户。

解密器需要访问由一个加密文件和加密文件的原始未加密版本组成的文件对，以重建解密其余数据所需的加密密钥。

请不要更改原始文件和加密文件的文件名，因为解密器可能会执行文件名比较以确定用于系统上加密文件的正确文件扩展名。

如何解密文件：

1.从提供此“操作方法”文档的同一站点下载解密器。

2.以管理员身份运行解密器。接下来将显示许可条款，您必须点击“是”按钮同意。

3.接受条款后，使用“浏览”按钮选择您的文件对。(可选) 可以更改要使用的 CPU 线程数；默认值比可用的值少1。然后，点击“开始”按钮。

4.解密器将开始重建所需的加密参数。根据勒索软件和您的计算机，此过程可能需要大量时间。

5.恢复过程完成后，解密器将显示重建的加密详细信息。显示纯粹是信息性的，以确认已找到所需的加密详细信息。

6.找到密钥后，点击“确定”以打开主解密器用户界面。

7.默认情况下，解密器将预填充要使用当前连接的驱动器和网络驱动器。可以使用“添加”按钮添加其他位置。

8.解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。

9.将要解密的所有位置添加到列表中后，点击“解密”按钮开始解密过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态。

10.解密过程完成后，解密器将通知您。如果您需要报告对于您的个人记录，您可以通过点击“保存日志”按钮进行保存。您也可以复制它，如果您被要求，请直接将其粘贴到您的剪贴板或论坛帖子中。

可用的解密器选项：

解密器当前实现以下选项：

保留加密文件：

由于勒索软件不会保存有关未加密文件的任何信息，因此解密器无法保证解密的数据与之前加密的数据相同。因此，默认情况下，解密器将选择谨慎行事，并且在解密后不会删除任何加密文件。如果您希望解密程序在处理完任何加密文件后将其删除，则可以禁用此选项。如果磁盘空间有限，则可能需要这样做。

工具下载地址

回复关键字【Aurora】获取下载链接