威胁数据库 勒索软件 Aurora勒索软件

Aurora勒索软件

通过CagedTech勒索软件

威胁评分卡

Popularity Rank: 23,942
威胁级别: 100 % (高的)
受感染的计算机: 113
初见: May 30, 2018
最后一次露面: March 18, 2026
受影响的操作系统: Windows

PC安全研究人员于2018年5月29日首次观察到了Aurora Ransomware,一种加密勒索软件木马。几乎没有什么区别Aurora Ransomware和当今用于攻击的许多其他加密勒索软件木马。与大多数类似的勒索软件木马一样,Aurora勒索软件通常通过损坏的垃圾邮件文件附件(通常采用带有嵌入式宏脚本的文件形式)传递给受害者。 Aurora勒索软件使用一种强大的加密算法来使受害者的文件不可访问,并俘获受害者的文件,直到受害者为解密程序付费为止。

Aurora勒索软件如何进行攻击

Aurora Ransomware在受感染的计算机上搜索用户生成的文件,然后使它们不可用。像Aurora Ransomware这样的攻击中经常作为攻击目标的文件示例包括:

.3dm,.3g2,.3gp,.7zip,.aaf,.accdb,.aep,.aepx,.aet,.ai,.aif,.as,.as3,.asf,.asp,.asx,.avi ,.bmp,.c,.class,.cpp,.cs,.csv,.dat,.db,.dbf,.doc,.docb,.docm,.docx,.dot,.dotm,.dotx 、. dwg,.dxf,.efx,.eps,.fla,.flv,.gif,.h,.idml,.iff,.indb,.indd,.indl,.indt,.inx,.jar,.java, .jpeg,.jpg,.js,.m3u,.m3u8,.m4u,.max,.mdb,.mid,.mkv,.mov,.mp3,.mp4,.mpa,.mpeg,.mpg,.msg ,.pdb,.pdf,.php,.plb,.pmd,.png,.pot,.potm,.potx,.ppam,.ppj,.pps,.ppsm,.ppsx,.ppt,.pptm 、. pptx,.prel,.prproj,.ps,.psd,.py,.ra,.rar,.raw,.rb,.rtf,.sdf,.sdf,.ses,.sldm,.sldx,.sql, .svg,.swf,.tif,.txt,.vcf,.vob,.wav,.wma,.wmv,.wpd,.wps,.xla,.xlam,.xll,.xlm,.xls,.xlsb ,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.xqx,.xqx,.zip。

Aurora Ransomware将使用文件扩展名“ .Aurora”标记受影响的文件,该文件扩展名将添加到每个受影响的文件的名称中。尽管有几个与Aurora Ransomware相关联的可执行文件,其中可能包括“ OneKeyLocker”,Aurora Ransomware可以在被感染的计算机上以名为“ List.exe”的可执行文件运行。 。

Aurora勒索软件的勒索笔记

Aurora勒索软件提供赎金字样。 Aurora Ransomware会以文本文件的形式将其勒索消息发送到被感染计算机的桌面上。 Aurora Ransomware勒索便笺名为“ HOW_TO_DECRYPT_YOUR_FILES.tx”,其中包含以下消息:

'Aurora勒索软件
抱歉!您的文件已加密。
文件内容使用随机密钥加密。
随机密钥使用RSA公钥(2048位)加密。
我们强烈建议您不要使用任何“解密工具”。
这些工具可能会损坏您的数据,从而使恢复变得不可能。
另外,我们建议您不要与数据恢复公司联系。
他们只会与我们联系,购买钥匙并以更高的价格卖给您。
如果要解密文件,则必须获得RSA私钥。
为了获得私钥,请在此处编写:
anonimus.mr@yahoo.com
并在3CwxawqJpM4RBNididvHf8LhFA2VfLsRjM钱包上支付500 $
如果其他人为您提供了文件还原功能,请要求他进行测试解密。
只有我们才能成功解密您的文件;知道这可以保护您免受欺诈。
您将收到下一步操作的说明。”

PC安全分析员反对通过赎金记录中列出的电子邮件地址联系负责Aurora Ransomware攻击的犯罪分子。这可能使它们容易受到其他攻击,并且几乎永远不会导致返回数据。

处理Aurora勒索软件

保护数据免受Aurora Ransomware等威胁的最好方法是进行文件备份。进行文件备份可确保您无需联系犯罪分子即可轻松还原文件。还应使用可靠的,可靠的,完全最新的程序来防止安装Aurora Ransomware等威胁。

Aurora勒索软件 截图

aurora ransomware variant

分析报告

一般信息

Family Name: Aurora Ransomware
Signature status: No Signature

Known Samples

MD5: 5e4829070f2f175634b5bff65bf87ac4
SHA1: a892c17a1fa2f656d415abfa6883d59bb0e9bf6c
SHA256: A8403614A6583AD413D02CB49F5D79B92B2F109024B025709C7ED6C45D3B7497
文件大小: 5.63 KB, 5632 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

Windows PE Version Information

姓名 价值
Assembly Version 0.0.0.0
File Version 0.0.0.0
Internal Name Ransom.dll
Original Filename Ransom.dll
Product Version 0.0.0.0

File Traits

  • .NET
  • dll
  • x86

Block Information

Total Blocks: 2
Potentially Malicious Blocks: 0
Whitelisted Blocks: 0
Unknown Blocks: 2

Visual Map

? ?
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Windows API Usage

Category API
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
Show More
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitLowEventPair
  • ntdll.dll!NtWriteFile
  • UNKNOWN

趋势

最受关注

正在加载...