最近幾天接到很多.DEVOS勒索病毒加密的數據庫文件需要修復, 這種加密較少 一般可以有損或者無損恢復,完整度99-100%
中毒屏幕信息
勒索病毒資料
什么是Devos?
Devos是Phobos勒索軟件家族的一部分 。與大多數此類程序一樣,Devos通過加密阻止對文件的訪問,更改文件名並向受害者提供有關如何恢復其文件的說明。該勒索軟件通過添加受害者的ID,開發人員的電子郵件地址並在文件名后附加“ .Devos ”擴展名來重命名所有加密文件。例如,將“ 1.jpg ”重命名為“ 1.jpg.id [1E857D00-2654]。[qq1935@mail.fr] .Devos ”,依此類推。它為受害者提供了兩條贖金消息:一個在彈出窗口中(“ info.hta ”文件),另一個在名為“ info.txt ”的文本文件中。
“ info.txt”文件包含一個電子郵件地址(qq1935@mail.fr),該電子郵件地址可用於聯系設計Devos的網絡罪犯。“ info.hta”窗口包含更詳細的贖金消息,該消息指出電子郵件中必須包含指定的ID,並且最多可以包含五個附件(加密文件),網絡罪犯將免費解密該附件。但是,要還原其余文件,受害者必須使用解密工具。該工具的成本未知,但是要提到的是,這取決於受害者與Devos開發人員聯系的速度。無論如何,贖金必須以比特幣支付。還指出,嘗試重命名加密文件或嘗試使用其他軟件解密它們可能會導致永久性數據丟失。很遺憾,當前沒有免費的工具可以還原此勒索軟件加密的文件。只有設計了勒索軟件的網絡罪犯才能解密數據。盡管如此,即使付款后,他們也經常不發送解密工具/密鑰。在許多情況下,相信網絡罪犯的受害者都會被騙。通常,無需使用僅由網絡犯罪分子擁有的工具來恢復文件的唯一方法就是從現有備份中還原文件。即使受害者從操作系統中卸載了勒索軟件,文件仍保持加密狀態-刪除只是防止它引起進一步的加密。無需使用僅由網絡犯罪分子擁有的工具來恢復文件的唯一方法是從現有備份中還原文件。即使受害者從操作系統中卸載了勒索軟件,文件仍保持加密狀態-刪除只是防止它引起進一步的加密。無需使用僅由網絡犯罪分子擁有的工具來恢復文件的唯一方法是從現有備份中還原文件。即使受害者從操作系統中卸載了勒索軟件,文件仍保持加密狀態-刪除只是防止它引起進一步的加密。
勒索軟件還有許多其他示例,包括 PRT,Nosu和Z9。通常,這些惡意程序旨在鎖定(加密)文件以及創建和/或顯示勒索消息。主要區別在於解密成本和用於數據加密的密碼算法(對稱或非對稱)。如前所述,受害者通常無法在沒有勒索軟件開發人員擁有的特定工具的情況下解密文件,除非(在極少數情況下)勒索軟件包含錯誤/缺陷或其他漏洞。另一種解決方案是當受害者備份其數據時。因此,請在遠程服務器或未插入的存儲設備上維護數據備份。
勒索軟件如何感染我的計算機?
目前尚不清楚網絡犯罪分子如何擴散Devos,但是,大多數網絡犯罪分子通過電子郵件(垃圾郵件活動),可疑的軟件下載源,特洛伊木馬,偽造(非官方)軟件更新和激活(“破解”)工具來分發惡意程序。他們使用垃圾郵件活動發送許多包含惡意附件的電子郵件。如果打開,它們會安裝惡意軟件(包括勒索軟件)。它們通常附加的文件示例包括Microsoft Office文檔,PDF文檔,檔案(ZIP,RAR),JavaScript文件和可執行文件(.exe和其他此類文件)。電子郵件通常包含可以下載惡意文件的網站鏈接。惡意軟件還通過點對點網絡(例如torrent客戶端,eMule),免費軟件下載網站,第三方軟件下載器,免費的文件托管頁面和其他類似渠道。它們用於上傳惡意文件。打開通過這些渠道下載的文件的人可能會安裝勒索軟件或其他高風險惡意軟件。木馬程序通常會導致鏈條感染。安裝后,它們會導致安裝其他惡意軟件。請注意,只有在系統上已安裝特洛伊木馬時才會發生這種情況。非官方的軟件更新程序通過安裝惡意程序(而不是更新,修復已安裝的軟件)或利用過時軟件的錯誤/缺陷來感染系統。各種“破解”(非官方激活)工具是可以免費激活許可軟件(繞過付費激活)的程序,但是,它們通常旨在分發和安裝惡意軟件。它們用於上傳惡意文件。打開通過這些渠道下載的文件的人可能會安裝勒索軟件或其他高風險惡意軟件。木馬程序通常會導致鏈條感染。安裝后,它們會導致安裝其他惡意軟件。請注意,只有在系統上已安裝特洛伊木馬時才會發生這種情況。非官方的軟件更新程序通過安裝惡意程序(而不是更新,修復已安裝的軟件)或利用過時軟件的錯誤/缺陷來感染系統。各種“破解”(非官方激活)工具是可以免費激活許可軟件(繞過付費激活)的程序,但是,它們通常旨在分發和安裝惡意軟件。它們用於上傳惡意文件。打開通過這些渠道下載的文件的人可能會安裝勒索軟件或其他高風險惡意軟件。木馬程序通常會導致鏈條感染。安裝后,它們會導致安裝其他惡意軟件。請注意,只有在系統上已安裝特洛伊木馬時,才會發生這種情況。非官方的軟件更新程序通過安裝惡意程序(而不是更新,修復已安裝的軟件)或利用過時軟件的錯誤/缺陷來感染系統。各種“破解”(非官方激活)工具是可以免費激活許可軟件(繞過付費激活)的程序,但是,它們通常旨在分發和安裝惡意軟件。打開通過這些渠道下載的文件的人可能會安裝勒索軟件或其他高風險惡意軟件。木馬程序通常會導致鏈條感染。安裝后,它們會導致安裝其他惡意軟件。請注意,只有在系統上已安裝特洛伊木馬時才會發生這種情況。非官方的軟件更新程序通過安裝惡意程序(而不是更新,修復已安裝的軟件)或利用過時軟件的錯誤/缺陷來感染系統。各種“破解”(非官方激活)工具是可以免費激活許可軟件(繞過付費激活)的程序,但是,它們通常旨在分發和安裝惡意軟件。打開通過這些渠道下載的文件的人可能會安裝勒索軟件或其他高風險惡意軟件。木馬程序通常會導致鏈條感染。安裝后,它們會導致安裝其他惡意軟件。請注意,只有在系統上已安裝特洛伊木馬時才會發生這種情況。非官方的軟件更新程序通過安裝惡意程序(而不是更新,修復已安裝的軟件)或利用過時軟件的錯誤/缺陷來感染系統。各種“破解”(非官方激活)工具是可以免費激活許可軟件(繞過付費激活)的程序,但是,它們通常旨在分發和安裝惡意軟件。請注意,只有在系統上已安裝特洛伊木馬時才會發生這種情況。非官方的軟件更新程序通過安裝惡意程序(而不是更新,修復已安裝的軟件)或利用過時軟件的錯誤/缺陷來感染系統。各種“破解”(非官方激活)工具是可以免費激活許可軟件(繞過付費激活)的程序,但是,它們通常旨在分發和安裝惡意軟件。請注意,只有在系統上已安裝特洛伊木馬時才會發生這種情況。非官方的軟件更新程序通過安裝惡意程序(而不是更新,修復已安裝的軟件)或利用過時軟件的錯誤/缺陷來感染系統。各種“破解”(非官方激活)工具是可以免費激活許可軟件(繞過付費激活)的程序,但是,它們通常旨在分發和安裝惡意軟件。
| 名稱 | 德沃斯病毒 |
| 威脅類型 | 勒索軟件,加密病毒, |
| 加密文件擴展名 | .devos |
| 索要贖金 | info.hta和info.txt |
| 網絡犯罪聯系 | qq1935 @ mail.fr,time2relax @ firemail.cc,ifirsthelperforunlockyourfiles @ privatemail.com,backupfiles01 @ protonmail.com,william_jefferson1 @ protonmail.com,yourbackup @ email.tg,helpbackup @ email.tg,Decryption24h @ pm.ve @,dessert_gui aol.com,HelpforFiles @ tutanota.com,squadhack @ email.tg,decryptfiles @ countermail.com,kabennalzly @ aol.com,decryptioner @ airmail.cc,savemyfiles @ protonmail.com,hjelp.main @ protonmail.com,2183313275 @ qq.com,ambulance @ keemail.me,saveyourfiles @ qq.com,flopored @ protonmail.com,villiamsscorj_rembly @ protonmail.com,howtodecrypt @ elude.in,support_2020_locker @ protonmail.com,lucky_top @ protonmail.com,filemaster777 @ protonmail。 com,file-cloud @ email.tg,support.devos777 @ snugmail.net,filemaster777 @ tutanota.com,support_devos @ protonmail.com,devos_devos @ tutanota.com,@ devos_support(Telegram),cris_nickson @ xmpp.jp(Jabber) ,devos @ countermail.com,geerban @ email.tg,devosapp @ aaathats3as.com,dawhack @ email.tg,star-new @ email.tg,hunterducker @ cumallover.me,hunterducker @ tutanota.com,devos @ eml.cc, devos@cock.li,deerho@email.tg |
| 檢測名稱 | Avast(Win32:Malware-gen),BitDefender(Trojan.Ransom.Phobos.F),ESET-NOD32(Win32 / Filecoder.Phobos.C),卡巴斯基(HEUR:Trojan.Win32.Generic),完整檢測列表(VirusTotal) |
| 症狀 | 無法打開計算機上存儲的文件,以前的功能文件現在具有不同的擴展名(例如,my.docx.locked)。贖金要求消息顯示在您的桌面上。網絡罪犯要求支付贖金(通常以比特幣支付)以解鎖您的文件。 |
| 感染方式 | 受感染的電子郵件附件(宏),BT網站,惡意廣告。 |
| 損害 | 所有文件均已加密,未經勒索解密無法打開。可以與勒索軟件感染一起安裝其他竊取密碼的木馬和惡意軟件感染。 |