什么是Devos病毒
Devos 是 Phobos 勒索软件家族的一部分。与大多数此类程序一样,Devos 通过加密阻止对文件的访问、更改文件名并为受害者提供有关如何恢复文件的说明。该勒索软件通过添加受害者的 ID、开发人员的电子邮件地址并将“.Devos”扩展名附加到文件名来重命名所有加密文件。
例如,它将“1.jpg”重命名为“1.jpg.id[8ADA7C4C-2686].[toogoldber@mail.fr].Devos”等。它向受害者提供两条勒索消息:一条在弹出窗口中(“info.hta”文件),另一条在名为“info.txt”的文本文件中。
Devos 勒索软件概述
“info.txt”文件包含一个电子邮件地址,用于联系设计 Devos 的网络犯罪分子。 “info.hta”窗口包含更详细的勒索消息,其中指出电子邮件必须包含指定的 ID,并且最多可以包含五个附件(加密文件),网络犯罪分子将免费解密这些附件。
然而,要恢复剩余的文件,受害者必须使用解密工具。该工具的成本是未知的,但是提到这取决于受害者联系 Devos 开发人员的速度。无论如何,赎金必须以比特币支付。还指出尝试重命名加密文件或尝试使用其他软件对其进行解密可能会导致永久性数据丢失。
不幸的是,目前没有免费工具能够恢复被此勒索软件加密的文件。只有设计勒索软件的网络犯罪分子才能解密数据。尽管如此,即使在付款后,他们也经常不发送任何解密工具/密钥。在许多情况下,信任网络犯罪分子的受害者被骗了。
通常,无需使用仅由网络犯罪分子持有的工具即可恢复文件的唯一方法是从现有备份中恢复它们。即使受害者从操作系统中卸载勒索软件,文件仍保持加密状态——删除只是防止它导致进一步加密。
勒索软件示例
还有许多其他勒索软件的例子,包括 PRT、Nosu 和 Z9。通常,这些恶意程序旨在锁定(加密)文件并创建和/或显示勒索消息。主要区别在于用于数据加密的解密成本和加密算法(对称或非对称)。
如前所述,如果没有勒索软件开发人员持有的特定工具,受害者通常无法解密文件,除非(在极少数情况下)勒索软件包含错误/缺陷或其他漏洞。另一种解决方案是当受害者备份他们的数据时。因此,请在远程服务器或拔出的存储设备上维护数据备份。
勒索软件是如何感染我的计算机的?
目前尚不清楚网络犯罪分子是如何扩散 Devos 的,但是,大多数网络犯罪分子通过电子邮件(垃圾邮件活动)、可疑的软件下载源、特洛伊木马、虚假(非官方)软件更新和激活(“破解”)工具分发恶意程序。他们使用垃圾邮件活动,发送许多包含恶意附件的电子邮件。
如果打开,这些可以安装恶意软件(包括勒索软件)。他们通常附加的文件示例是 Microsoft Office 文档、PDF 文档、档案(ZIP、RAR)、JavaScript 文件和可执行文件(.exe 和其他此类文件)。这些电子邮件通常包含可以下载恶意文件的网站链接。
恶意软件还通过点对点网络(例如,torrent 客户端、eMule)、免费软件下载网站、第三方软件下载器、免费文件托管页面和其他类似渠道传播。它们用于上传恶意文件。打开通过这些渠道下载的文件的人有安装勒索软件或其他高风险恶意软件的风险。
木马是经常引起连锁感染的程序。安装后,它们会导致安装其他恶意软件。请注意,仅当系统上已安装木马时才会发生这种情况。
非官方软件更新程序通过安装恶意程序而不是更新、修复已安装的软件或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是据称免费激活许可软件的程序(绕过付费激活),但它们通常旨在分发和安装恶意软件。
如何保护自己免受勒索软件感染
不相关的电子邮件中包含的链接或附件不应被信任,尤其是当邮件来自未知、可疑的地址时。最好的选择是忽略这些电子邮件(不打开附件和网站链接)。我们建议您从官方网站并通过直接下载链接下载所有软件。
上面提到的其他来源不可信。使用官方开发人员设计的已实施功能和工具,使已安装的程序和操作系统保持最新。这同样适用于许可软件的激活。使用第三方工具是非法的,它们经常用高风险恶意软件感染系统。
使用信誉良好的防病毒或反间谍软件定期扫描系统以确保系统安全。如果您的计算机已经感染了 Devos,我们建议您使用适用于 Windows 的 Combo Cleaner Antivirus 运行扫描,以自动清除此勒索软件。
隔离受感染的设备
一些勒索软件类型的感染旨在加密外部存储设备中的文件,感染它们,甚至传播到整个本地网络。因此,尽快隔离受感染的设备(计算机)非常重要。
第 1 步:断开与互联网的连接。
断开计算机与互联网的连接最简单的方法是从主板上拔下以太网电缆,但是,有些设备是通过无线网络连接的,对于某些用户(尤其是那些不是特别精通技术的用户)来说,断开电缆似乎麻烦。因此,您也可以通过控制面板手动断开系统:
导航到“控制面板”,点击屏幕右上角的搜索栏,进入“网络和共享中心”
右键单击每个连接点并选择“禁用”。一旦禁用,系统将不再连接到互联网。要重新启用连接点,只需再次右键单击并选择“启用”。
第 2 步:拔下所有存储设备。
如上所述,勒索软件可能会加密数据并渗透到连接到计算机的所有存储设备中。因此,应立即断开所有外部存储设备(闪存驱动器、便携式硬盘驱动器等),但是,我们强烈建议您在断开连接之前弹出每个设备以防止数据损坏:
导航到“我的电脑”,右键单击每个连接的设备,然后选择“弹出”:
第 3 步:注销云存储帐户。
某些勒索软件类型可能能够劫持处理存储在“云”中的数据的软件。因此,数据可能被损坏/加密。因此,您应该注销浏览器和其他相关软件中的所有云存储帐户。您还应该考虑暂时卸载云管理软件,直到完全消除感染。
识别勒索软件感染:
要正确处理感染,必须首先识别它。一些勒索软件感染使用勒索请求消息作为介绍(请参阅下面的 WALDO 勒索软件文本文件)。
然而,这种情况很少见。在大多数情况下,勒索软件感染会传递更直接的信息,只是说明数据已加密并且受害者必须支付某种赎金。请注意,勒索软件类型的感染通常会生成具有不同文件名的消息(例如,“_readme.txt”、“READ-ME.txt”、“DECRYPTION_INSTRUCTIONS.txt”、“DECRYPT_FILES.html”等)。因此,使用勒索信息的名称似乎是识别感染的好方法。问题是这些名称中的大多数都是通用名称,并且一些感染使用相同的名称,即使传递的消息不同并且感染本身不相关。因此,单独使用消息文件名可能是无效的,甚至会导致永久性数据丢失(例如,通过尝试使用针对不同勒索软件感染而设计的工具来解密数据,用户最终可能会永久损坏文件并且无法再进行解密)即使使用正确的工具)。
识别勒索软件感染的另一种方法是检查附加到每个加密文件的文件扩展名。勒索软件感染通常以其附加的扩展名命名(请参阅下面由 Qewe 勒索软件加密的文件)。
但是,此方法仅在附加的扩展名是唯一的时才有效 - 许多勒索软件感染都会附加通用扩展名(例如,“.encrypted”、“.enc”、“.crypted”、“.locked”等)。在这些情况下,通过附加扩展名识别勒索软件变得不可能。
识别勒索软件感染的最简单、最快捷的方法之一是使用 ID Ransomware 网站。该服务支持大多数现有的勒索软件感染。受害者只需上传勒索信息和/或一个加密文件(我们建议您尽可能上传两者)。
勒索软件将在几秒钟内被识别出来,并向您提供各种详细信息,例如感染所属的恶意软件家族的名称、是否可解密等等。
示例 1(Qewe [Stop/Djvu] 勒索软件):
示例 2(.iso [Phobos] 勒索软件):
如果您的数据碰巧被 ID Ransomware 不支持的勒索软件加密,您可以随时尝试使用某些关键字(例如,勒索消息标题、文件扩展名、提供的联系电子邮件、加密钱包地址等)搜索互联网。 )。
成都飞科数据修复中心在此类病毒具有丰富解决方案
