Aurora(欧若拉)勒索病毒首次出现于2018年7月左右，加密后的文件后缀为Aurora，2018年11月，此勒索病毒的一款变种样本，加密后的文件后缀为Zorro，同时发现了此勒索病毒的一个BTC钱包地址：18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac，通过跟踪此BTC钱包，到现在为止，此钱包一共有3.34369751BTC，查看交易记录，发现它最后在2018年12月2号，向另外两个钱包地址：

33URh4WzrNw3MMb29ZAKa5WQX1yxhDPex4、1E7FQ5Ni2vRYp2QfVbDJWoMMiAwnzy3xZH

分别转入0.00301462 BTC和0.04227819 BTC，如下所示：

最早的交易记录在2018年9月，如下所示：

从交易记录来看，该BTC钱包地址从2018年9月到2018年12月，一共收获了3.34369751BTC

2019年2月，此勒索病毒再次更新，加密后的文件后缀为：cryptoid，同时要求受害者支付价值约350美元的比特币进行解密，获取到的BTC钱包地址：

3PVXGBEpCpLiWQApnZmdt22HgKpeBmeGoN，到现在为止，此BTC钱包一共有1.16541979 BTC，查看交易记录，发现它在最后2019年8月，分别向两个BTC钱包地址：

1PxtcgFjPMnWjyWy6YJ7XVdiycGQEbPRy7、 3PUpLgtMAnwy3UVpcZygoBZjvf98dp2fUH分别转入0.039 BTC和0.0008924 BTC，如下所示：

最早的交易在2019年2月，如下所示：

从交易记录来看，该BTC钱包从2019年2月到2019年8月，一共收获了1.16541979 BTC

这款勒索病毒从2018年7月份左右出现后一直非常活跃，更新过多个不同的版本，Emsisoft安全公司此前就发布这款勒索病毒的解密工具，可以解密这款勒索病毒的多个版本，如:Aurora、aurora、animus、ONI、Nano、Zorro、Desu、AnimusLocker、cryptoid、peekaboo

isolated、infected等，最近此勒索病毒又再次更新，国外安全研究人员公布了样本的MD5值，如下所示：

在app.any.run网站上查询些MD5，如下所示：

样本于8月18号和21号分别被人上传到了app.any.run沙箱网站，运行结果，如下所示：

下载样本，发现此样本的时间戳为2019年8月8号，如下所示：

同时发现了样本的pdb信息C:\Users\z0ddak\Desktop\source\Release\Ransom.pdb，如下所示：

此勒索病毒加密后的文件后缀为：locked，如果你中了此勒索病毒的最新变种，不用担心，Emsisoft安全公司已经更新了此勒索病毒解密工具，如下所示：

解密工具下载地址：

cf1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2W2L8i4y4A6M7$3!0X3N6q4)9J5k6h3y4G2L8g2)9J5c8Y4u0S2L8Y4y4G2L8i4N6S2M7X3g2Q4x3X3c8V1k6h3y4J5P5i4m8@1K9h3!0F1i4K6u0V1N6r3!0G2L8s2y4Q4x3V1k6V1L8%4N6F1L8r3!0S2k6q4)9J5c8X3q4#2M7X3!0J5j5b7`.`.

工具使用文档下载地址：

af3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1k6h3y4J5P5i4m8@1k6i4u0Q4x3X3g2W2L8i4y4A6M7$3!0X3N6q4)9J5k6h3y4G2L8g2)9J5c8X3S2G2N6%4c8G2M7#2)9J5c8X3g2E0M7$3W2K6L8$3k6@1i4K6g2X3K9r3!0%4N6r3!0Q4y4h3k6S2N6i4u0G2M7X3q4Q4x3X3g2H3k6r3j5`.

现在大多数的安全问题都是通过恶意软件进行攻击的，如果你对恶意软件感兴趣，想研究学习各类恶意样本的分析技术，想与一些专业的安全分析师与漏洞研究专家交流，欢迎加入知识星球：安全分析与研究，分享各种安全技术：应急响应、恶意样本分析、渗透测试、漏洞研究、移动安全等

加入知识星球的朋友，可以加我微信:pandazhengzheng，然后会拉你加入微信群：安全分析与研究，可以随时提供专业的安全咨询和指导，欢迎关注微信公众号：安全分析与研究，会不定期分享各种安全知识与技术，因为专注，所以专业！

安全的路很长，贵在坚持......

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课