介绍了Devos后缀勒索病毒Devos勒索病毒是Phobos勒索病毒家族的一种。
文件特征: ** {原文件名}.ID-8字符. Email .后缀Phobos:变种:Devos .Eking . Harma .makop等**邮箱中随机字符加后缀为
Devos恐吓病毒是一种文件加密恐吓软件感染,通过使用扩展名“. Devos”加密文件来限制对数据(文档、图像、视频)的访问。 然后,他试图通过要求作为比特币加密货币的“赎金”,以数据访问权换取受害者的钱。
遇到勒索病毒1 .发现勒索病毒2021年5月28日,周五早上,像往常一样,打开电脑准备工作。 突然,桌面上有几个令人费解的DOS运行窗口,虽然有疑问,但并不仔细确认。 直接关闭几个窗口。 关闭窗口几秒钟后,突然发现桌面上的图标和文件突然变成灰色。 再仔细看看吧。 灰色文件的后缀后面有莫名其妙的值,最后一个后缀带有Devos。 突然醒来,这个东西很像。 我预感到事情不好办。
桌面上的所有文件都将被加密
2 .勒索病毒被确认了眼前的一切,我马上意识到这就是勒索病毒。 然后我马上看到了桌面以外的驱动器号文件。 一确认,我的心凉了一半。 整个电脑的大部分文件都是灰色的。 (加密后添加了文件后缀。
加密的文件
3 .恐吓确认病毒后的无能我知道这个病毒的厉害。 害怕病毒在公司的局域网上持续传播,我马上拔掉了自己电脑的局域网电缆。 拔下网线后,我想退出病毒程序,防止自己的计算机文件被加密。 试图打开任务管理器并退出病毒程序,但不知道病毒进程是哪个,无法退出。 之后,我看到文件被逐步加密。
4 .感染病毒后的处理由于电脑文件逐渐加密(中毒),自己手头确实有很多工作要做。 只能想办法早点重新开始工作。 没办法,我决定重新安装系统,格式化整个硬盘。
5 .局域网上的更多设备感染了,在我重新安装系统的过程中,同事正在讨论一些文件无法访问和使用。 后来被确认是Phobos家族的Devos勒索病毒。 我意识到了事情的重要性。 我马上向公司前台发出了紧急通知。 通知如下。
中毒后紧急通知
发现了勒索病毒可执行文件1 .在熟悉的DOS窗口中打开带有内部网的服务时,发现桌面上的文件已加密。 而且,桌面上有我早上在自己电脑上见过的DOS窗口。
在某个内部网用服务器上运行的程序有两个很多
2 .在下午再次见到熟悉的DOS窗口的工作过程中,一台内部服务器被发现异常咣当。 桌面上也有熟悉的DOS窗口,这些可执行文件的存储位置也异常可疑。 子库存位于用户帐户下的music目录中。
再次遇到熟悉的窗口
3 .检查这些异常目录中的文件。 由于服务器是内部公共计算机,因此请确保有多个同事可以访问。 于是,刚才调出了几个异常目录中的文件,让同事确认是否有同事保管。 每个人都确认了这些文件不是他们保管的。 所以我加密复制了这些可疑的程序。 便于后续的适当分析。
涉嫌勒索病毒程序文件
4 .确认这些文件是病毒程序后,将这些异常文件复制到虚拟机中并运行,无论网是否断开,都会发现它们。 这些病毒程序在大约十几秒钟内就会感染桌面和系统磁盘上的大多数文件。
病毒中毒症状和响应流程以下截图来源于虚拟机,虚拟机安装了windows1064位专业版。 经过多次测试分析,分析了病毒扩散原理及应对措施
1 .中毒后的症状是,该病毒的症状是计算机文件被加密了。
中毒后的文件被加密
病毒的开发者最终的目的是勒索金钱(比特币),所以加密一定的文件后,会提醒你给赎金的联系方式。 联系方式如下。
中毒档案1-程序注意事项
中毒恐吓文件2-文本文件注意事项
2 .中毒后的应对流程发现自己电脑中毒后,请按照以下流程依次操作,以免局域网上的更多电脑受损
拔下网线(防止病毒扩散并提供解密所需的条件) )卸下所有存储设备并删除病毒或可疑可执行文件(附加图像后);经过确认此次我中病毒的进程为“Fast”
这次病毒文件的进展
center;">此次病毒文件相关程序
注销云存储帐户(防止云存储的文件被加密)关闭所有共享文件夹切记不要重启电脑,且马上检查电脑自启动项是否被添加了病毒执行文件(运行处输入-"shell:startup"进行查看),如有请立即删除此文件。开机运行程序被加入病毒文件
备份还未被感染重要资料(拿一个全新的U盘将还未被加密的资料进行拷贝),此时拷贝的文件可能含有病毒文件,请勿直接到没有杀毒软件的电脑上读取。# 3.勒索病毒 传播思考公网端口扫描
经过资料查阅与学习,此类勒索病毒基本上是通过广撒网方式进行病毒传播。特别是电脑开启了直接暴露在外网的端口。如3389 远程端口、3306 mysql数据库端口等常用软件默认端口。黑客利用这些端口的一些漏洞进行病毒传播
局域网共享文件传播
局域网中有Windows终端感染勒索病毒,局域网中部分电脑使用了网络驱动器映射(文件共享)的方式进行文件传播,因此通过文件共享的方式进行病毒传播。
个人认为此次我经历的传播方式就是共享文件传播,下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享,然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。
Ns-V2.exe病毒程序进行局域网共享文件扫描
勒索病毒 预防勒索病毒目前来说无法解密,基本上只有通过病毒制作人的秘钥进行解密。切记中毒后不要随意找一些软件进行破解或解密。非专业人士操作会导致加密被破坏,更难以解密。如资料特别重要可以考虑寻求专业数据恢复公司的帮助。
重要预防流程: 重要文件备份(数据保存三份,用两种介质,其中一份放在异地)电脑安装杀毒或防护软件
(推荐360安全卫士、火绒安全)局域网使用文件共享尽量用密码共享的方式进行共享,且要对共享的文件进行权限控制
(如只配置特定用户的读取权限)系统或软件有更新尽量进行更新,特别是针对安全的相关补丁
(推荐使用360安全卫士等软件进行一键更新)附录1:杀毒软件效果判定
杀毒软件1:win10 自带 Windows Defender 软件
杀毒软件2:360安全卫士
经过确认,2款软件只要病毒库是最新版都可以进行相应的拦截与提醒。
此处判定用的病毒文件
其中:Fast NS-v2 Loggy cleaner3款软件为病毒文件,其它文件疑似属于病毒文件扩散用的配套软件。
Fast 病毒程序被拦截
Windows Defender 拦截成功
360拦截成功
Ns-V2 病毒程序被拦截
Windows Defender 拦截成功
360拦截成功
附录2:此次病毒感染视频演示勒索病毒Devos中毒过程演示.mp4
相关资料引用与学习:
1.2021年最猖狂的勒索病毒之一 .devos后缀勒索病毒是什么?如何应对处理?
2.勒索病毒为什么那么难破解.mp4
3.遇到勒索软件千万别关机!被黑客勒索怎么破?
4.B站知名UP主 视频素材被勒索(视频75万人点赞、4万转发)