Ransomware Aurora

Também Conhecido Como: Aurora (vírus)
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware Aurora

O que é Aurora?

Primeiramente descoberto por MalwareHunterTeam, Aurora é um vírus do tipo ransomware que se infiltra furtivamente no sistema e encripta os ficheiros armazenados. Para conseguir isso, o Aurora usa o RSA-2048 - um algoritmo de encriptação assimétrica. Durante o processo, esse malware anexa nomes de ficheiros com a extensão ".Aurora" (por exemplo, "sample.jpg" é renomeada para "sample.jpg.Aurora"). Os dados comprometidos imediatamente tornam-se inutilizáveis. Após a encriptação bem-sucedida, Aurora cria um ficheiro html ("HOW_TO_DECRYPT_YOUR_FILES.txt" or "!-GET_MY_FILES-!.txt") colocando uma cópia em todas as pastas existentes.

Como habitualmente, o novo ficheiro contém texto que informa os utilizadores da encriptação. Se as vítimas quiserem restaurar seus dados, devem entrar em contato com os desenvolvedores da Aurora por meio de um endereço de e-mail fornecido e comprar uma chave de descodificação. Como mencionado acima, Aurora usa o algoritmo RSA-2048. Por isso, as chaves pública (encriptação) e privada (desencriptação) são geradas durante o processo de encriptação. A desencriptação sem a chave privada é impossível. Os desenvolvedores da Aurora armazenam todas as chaves num servidor remoto e fazem exigências de resgate para sua liberação. Cada vítima deve pagar $100 (usando uma encriptação) em troca de sua chave. Em comparação com outros vírus do tipo ransomware, esse custo é baixo (os custos normalmente oscilam entre $500 e $1.500 e, em alguns casos, aumentam para muitos milhares de dólares). Apesar dessas exigências, não pague. A pesquisa demonstra que essa pessoas ignora as vítimas, assim que os pagamentos sejam submetidos. Assim, pagar normalmente não dá resultado positivo e as vítimas são simplesmente enganadas. Ao pagar, está simplesmente a apoiar os negócios fraudulentos dos criminosos virtuais. Portanto, nunca tente entrar em contato com essas pessoas e, certamente, não envie nenhum pagamento. Infelizmente, atualmente não há ferramentas capazes de quebrar o algoritmo AES/RSA e restaurar ficheiros encriptados. A única solução é restaurar os seus tudo a partir de uma cópia de segurança.

Screenshot de uma mensagem a encorajar os utilizadores a pagar o resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de Aurora

A internet está cheia de malware semelhante a Aurora. Embrace, JosepCrypt, e CryptoConsole são apenas alguns exemplos entre muitos outros. Embora estes vírus sejam desenvolvidos por criminosos virtuais, todos têm comportamento idêntico - encriptam ficheiros e exigem resgate. A única diferença é o tamanho do resgate e o tipo de algoritmo de encriptação usado. Infelizmente, a maioria desses vírus emprega algoritmos (por exemplo, RSA, AES, etc.) que geram chaves únicas de encriptação/desencriptação. Portanto, a menos que o malware não esteja totalmente desenvolvido ou tenha certos bugs/falhas (por exemplo, a chave é codificada, armazenada localmente etc.), o restauro de ficheiros sem o envolvimento de desenvolvedores (o contato com essas pessoas não é recomendado) é impossível. O ransomware é uma das principais razões pelas quais deve manter cópias de segurança de dados regulares, armazená-los num dispositivo de armazenamento desligado (por exemplo, disco rígido externo, unidade Flash, etc.) ou servidor remoto (por exemplo, Cloud), caso contrário os cópias de segurança são encriptados com dados regulares.

Como é que o ransomware infectou o meu computador?

Os vírus de tipo ransomware proliferam o ransomware de várias maneiras, no entanto, os mais populares são: 1) e-mails de spam; 2) fontes de descarregamento de software de terceiros; 3) redes peer-to-peer [P2P]; 4) falsas ferramentas de atualização de software e 5) trojans. Os emails de spam são entregues com anexos infecciosos (por exemplo, ficheiros JavaScript, documentos do MS Office, etc.) que, uma vez abertos, executam scripts projetados para descarregar e instalar malware. Fontes de descarregamento não oficiais (sites de descarregamento de freeware, sites de hospedagem de ficheiros gratuitos, etc.) e redes P2P (torrents, eMule, etc.) apresentam executáveis ??fraudulentos como software legítimo, enganando os utilizadores para descarregar e instalar malware. Os atualizadores falsos infectam o sistema, explorando erros/falhas de software desatualizados ou simplesmente descarregando e instalando malwares em vez de atualizações de software. Os Trojans são os mais simples - abrem "backdoors" para que outros malwares de alto risco se infiltrem no sistema.

Como se proteger de infecções de ransomware?

Os principais motivos das infecções por computador são o conhecimento insuficiente e o comportamento imprudente. A chave para a segurança é ter cuidado. Para impedir esta situação, deve sempre estar atento ao descarregar e navegar a Internet. Se os ficheiros parecerem irrelevantes e/ou tiverem sido enviado por um endereço de e-mail suspeito/irreconhecível, não o abra - e exclua o e-mail imediatamente. Descarregue as suas aplicações apenas de fontes oficiais, usando links de descarregamento direto, em vez de descarregadores/instaladores de terceiros. Essas ferramentas são usadas para proliferar aplicações fraudulentas (ou até mesmo malwares) e, portanto, nunca devem ser usados. A mesma regra aplica-se à atualização de software. Mantenha o software instalado atualizado. Certifique-se sempre de usar funções atualizadas implementadas ou, pelo menos, ferramentas fornecidas apenas pelo desenvolvedor oficial. Usar um anti-vírus legítimo ou qualquer pacote anti-vírus/anti-spyware é essencial.

Texto apresentado no ficheiro de texto do ransomware Aurora:

ransomware aurora
DESCULPE! Os seus ficheiros foram encriptados.
O conteúdo do ficheiro é encriptado com chave aleatória.
A chave aleatória é encriptada com chave pública RSA (2048 bits).
Recomendamos fortemente que não use nenhuma "ferramenta de descodificação".
Essas ferramentas podem danificar os seus dados, tornando a recuperação IMPOSSÍVEL.
Também recomendamos que não entre em contato com empresas de recuperação de dados.
Apenas entrarão em contato conosco, comprarão a chave e a venderão para a um preço mais alto.
Se quiser desencriptar os seus ficheiros, deve obter a chave privada RSA.
Para obter a chave privada, escreva aqui:
lenboza@protonmail.ch
E envie-me a sua id, a sua id:
1260682360
E pague 100$ na carteira de 172fqoLfYkMQXk6tmEqGH3y43gQwAzSSFJ
Se alguém lhe oferecer o restauro de ficheiros, peça para desencriptar o teste.
Só podemos desencriptar os seus ficheiros com sucesso; Saber disso pode protegê-lo de fraudes.
receberá instruções sobre o que fazer em seguida.
ransomware aurora

Screenshot dos ficheiros encriptados por Aurora (extensão .Aurora):

Ficheiros encriptados por Aurora

Remoção do ransomware Aurora:

Remoção imediata automática de Aurora (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Aurora (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Aurora. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Aurora no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Aurora restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Aurora são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por Aurora também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Aurora.)

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware Aurora:

Fonte: https://www.pcrisk.com/removal-guides/12850-aurora-ransomware