【工具分享】Aurora勒索病毒恢复工具

前言

Aurora病毒是一种依靠垃圾邮件传播，加密用户文件并索要赎金来威胁受害者的恶意软件。

特征

Aurora(欧若拉)勒索病毒首次出现于2018年7月左右，加密后的文件后缀为Aurora，2018年11月，此勒索病毒的一款变种样本，加密后的文件后缀为Zorro。该病毒目前已知依靠垃圾邮件传播，被病毒感染后系统中上百种类型文件均会被加密后添加.cryptoid扩展后缀，勒索者威胁受害者缴纳相当于350美金的比特币来获取解密工具。

工具使用说明

重要！请务必先从您的系统中隔离恶意软件，否则它可能会反复锁定您的系统或加密文件。如果您当前的防病毒解决方案无法检测到恶意软件，则可以使用 Emsisoft Anti-Malware 的免费试用版对其进行隔离。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议您更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能添加了其他帐户。

解密器需要访问由一个加密文件和加密文件的原始未加密版本组成的文件对，以重建解密其余数据所需的加密密钥。请不要更改原始文件和加密文件的文件名，因为解密器可能会执行文件名比较以确定用于系统上加密文件的正确文件扩展名。

如何恢复您的文件

1.从提供此“作方法”文档的同一站点下载解密器。

2.以管理员身份运行解密器。接下来将显示许可条款，您必须通过单击“Yes”按钮来同意：

3.接受条款后，使用 “Browse”（浏览）按钮选择您的文件对。（可选）可以使用的 CPU 线程数进行更改;默认值比可用值少 1。

然后，单击“开始”按钮。

4.解密器将开始重建所需的加密参数。根据勒索软件和您的计算机，此过程可能需要大量时间。

5.解密器将显示重建的加密细节，一旦恢复过程完成。该显示纯粹是信息性的，以确认所需的加密细节已被找到：

6.找到密钥后，单击“确定”打开主解密器用户界面：

7.默认情况下，解密器将预先填充位置以使用当前连接的驱动器和网络驱动器进行解密。可以使用 “Add” 按钮添加其他地点。

8.解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于 Options 选项卡中，可以在其中启用或禁用。您可以在下面找到可用选项的详细列表。

9.将要恢复的所有位置添加到列表后，单击“恢复”按钮开始恢复过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态：