最近几天接到很多.DEVOS勒索病毒加密的数据库文件需要修复, 这种加密较少 一般可以有损或者无损恢复,完整度99-100%
中毒屏幕信息
勒索病毒资料
什么是Devos?
Devos是Phobos勒索软件家族的一部分 。与大多数此类程序一样,Devos通过加密阻止对文件的访问,更改文件名并向受害者提供有关如何恢复其文件的说明。该勒索软件通过添加受害者的ID,开发人员的电子邮件地址并在文件名后附加“ .Devos ”扩展名来重命名所有加密文件。例如,将“ 1.jpg ”重命名为“ 1.jpg.id [1E857D00-2654]。[qq1935@mail.fr] .Devos ”,依此类推。它为受害者提供了两条赎金消息:一个在弹出窗口中(“ info.hta ”文件),另一个在名为“ info.txt ”的文本文件中。
“ info.txt”文件包含一个电子邮件地址(qq1935@mail.fr),该电子邮件地址可用于联系设计Devos的网络罪犯。“ info.hta”窗口包含更详细的赎金消息,该消息指出电子邮件中必须包含指定的ID,并且最多可以包含五个附件(加密文件),网络罪犯将免费解密该附件。但是,要还原其余文件,受害者必须使用解密工具。该工具的成本未知,但是要提到的是,这取决于受害者与Devos开发人员联系的速度。无论如何,赎金必须以比特币支付。还指出,尝试重命名加密文件或尝试使用其他软件解密它们可能会导致永久性数据丢失。很遗憾,当前没有免费的工具可以还原此勒索软件加密的文件。只有设计了勒索软件的网络罪犯才能解密数据。尽管如此,即使付款后,他们也经常不发送解密工具/密钥。在许多情况下,相信网络罪犯的受害者都会被骗。通常,无需使用仅由网络犯罪分子拥有的工具来恢复文件的唯一方法就是从现有备份中还原文件。即使受害者从操作系统中卸载了勒索软件,文件仍保持加密状态-删除只是防止它引起进一步的加密。无需使用仅由网络犯罪分子拥有的工具来恢复文件的唯一方法是从现有备份中还原文件。即使受害者从操作系统中卸载了勒索软件,文件仍保持加密状态-删除只是防止它引起进一步的加密。无需使用仅由网络犯罪分子拥有的工具来恢复文件的唯一方法是从现有备份中还原文件。即使受害者从操作系统中卸载了勒索软件,文件仍保持加密状态-删除只是防止它引起进一步的加密。
勒索软件还有许多其他示例,包括 PRT,Nosu和Z9。通常,这些恶意程序旨在锁定(加密)文件以及创建和/或显示勒索消息。主要区别在于解密成本和用于数据加密的密码算法(对称或非对称)。如前所述,受害者通常无法在没有勒索软件开发人员拥有的特定工具的情况下解密文件,除非(在极少数情况下)勒索软件包含错误/缺陷或其他漏洞。另一种解决方案是当受害者备份其数据时。因此,请在远程服务器或未插入的存储设备上维护数据备份。
勒索软件如何感染我的计算机?
目前尚不清楚网络犯罪分子如何扩散Devos,但是,大多数网络犯罪分子通过电子邮件(垃圾邮件活动),可疑的软件下载源,特洛伊木马,伪造(非官方)软件更新和激活(“破解”)工具来分发恶意程序。他们使用垃圾邮件活动发送许多包含恶意附件的电子邮件。如果打开,它们会安装恶意软件(包括勒索软件)。它们通常附加的文件示例包括Microsoft Office文档,PDF文档,档案(ZIP,RAR),JavaScript文件和可执行文件(.exe和其他此类文件)。电子邮件通常包含可以下载恶意文件的网站链接。恶意软件还通过点对点网络(例如torrent客户端,eMule),免费软件下载网站,第三方软件下载器,免费的文件托管页面和其他类似渠道。它们用于上传恶意文件。打开通过这些渠道下载的文件的人可能会安装勒索软件或其他高风险恶意软件。木马程序通常会导致链条感染。安装后,它们会导致安装其他恶意软件。请注意,只有在系统上已安装特洛伊木马时才会发生这种情况。非官方的软件更新程序通过安装恶意程序(而不是更新,修复已安装的软件)或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是可以免费激活许可软件(绕过付费激活)的程序,但是,它们通常旨在分发和安装恶意软件。它们用于上传恶意文件。打开通过这些渠道下载的文件的人可能会安装勒索软件或其他高风险恶意软件。木马程序通常会导致链条感染。安装后,它们会导致安装其他恶意软件。请注意,只有在系统上已安装特洛伊木马时才会发生这种情况。非官方的软件更新程序通过安装恶意程序(而不是更新,修复已安装的软件)或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是可以免费激活许可软件(绕过付费激活)的程序,但是,它们通常旨在分发和安装恶意软件。它们用于上传恶意文件。打开通过这些渠道下载的文件的人可能会安装勒索软件或其他高风险恶意软件。木马程序通常会导致链条感染。安装后,它们会导致安装其他恶意软件。请注意,只有在系统上已安装特洛伊木马时,才会发生这种情况。非官方的软件更新程序通过安装恶意程序(而不是更新,修复已安装的软件)或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是可以免费激活许可软件(绕过付费激活)的程序,但是,它们通常旨在分发和安装恶意软件。打开通过这些渠道下载的文件的人可能会安装勒索软件或其他高风险恶意软件。木马程序通常会导致链条感染。安装后,它们会导致安装其他恶意软件。请注意,只有在系统上已安装特洛伊木马时才会发生这种情况。非官方的软件更新程序通过安装恶意程序(而不是更新,修复已安装的软件)或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是可以免费激活许可软件(绕过付费激活)的程序,但是,它们通常旨在分发和安装恶意软件。打开通过这些渠道下载的文件的人可能会安装勒索软件或其他高风险恶意软件。木马程序通常会导致链条感染。安装后,它们会导致安装其他恶意软件。请注意,只有在系统上已安装特洛伊木马时才会发生这种情况。非官方的软件更新程序通过安装恶意程序(而不是更新,修复已安装的软件)或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是可以免费激活许可软件(绕过付费激活)的程序,但是,它们通常旨在分发和安装恶意软件。请注意,只有在系统上已安装特洛伊木马时才会发生这种情况。非官方的软件更新程序通过安装恶意程序(而不是更新,修复已安装的软件)或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是可以免费激活许可软件(绕过付费激活)的程序,但是,它们通常旨在分发和安装恶意软件。请注意,只有在系统上已安装特洛伊木马时才会发生这种情况。非官方的软件更新程序通过安装恶意程序(而不是更新,修复已安装的软件)或利用过时软件的错误/缺陷来感染系统。各种“破解”(非官方激活)工具是可以免费激活许可软件(绕过付费激活)的程序,但是,它们通常旨在分发和安装恶意软件。
| 名称 | 德沃斯病毒 |
| 威胁类型 | 勒索软件,加密病毒, |
| 加密文件扩展名 | .devos |
| 索要赎金 | info.hta和info.txt |
| 网络犯罪联系 | qq1935 @ mail.fr,time2relax @ firemail.cc,ifirsthelperforunlockyourfiles @ privatemail.com,backupfiles01 @ protonmail.com,william_jefferson1 @ protonmail.com,yourbackup @ email.tg,helpbackup @ email.tg,Decryption24h @ pm.ve @,dessert_gui aol.com,HelpforFiles @ tutanota.com,squadhack @ email.tg,decryptfiles @ countermail.com,kabennalzly @ aol.com,decryptioner @ airmail.cc,savemyfiles @ protonmail.com,hjelp.main @ protonmail.com,2183313275 @ qq.com,ambulance @ keemail.me,saveyourfiles @ qq.com,flopored @ protonmail.com,villiamsscorj_rembly @ protonmail.com,howtodecrypt @ elude.in,support_2020_locker @ protonmail.com,lucky_top @ protonmail.com,filemaster777 @ protonmail。 com,file-cloud @ email.tg,support.devos777 @ snugmail.net,filemaster777 @ tutanota.com,support_devos @ protonmail.com,devos_devos @ tutanota.com,@ devos_support(Telegram),cris_nickson @ xmpp.jp(Jabber) ,devos @ countermail.com,geerban @ email.tg,devosapp @ aaathats3as.com,dawhack @ email.tg,star-new @ email.tg,hunterducker @ cumallover.me,hunterducker @ tutanota.com,devos @ eml.cc, devos@cock.li,deerho@email.tg |
| 检测名称 | Avast(Win32:Malware-gen),BitDefender(Trojan.Ransom.Phobos.F),ESET-NOD32(Win32 / Filecoder.Phobos.C),卡巴斯基(HEUR:Trojan.Win32.Generic),完整检测列表(VirusTotal) |
| 症状 | 无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。 |
| 感染方式 | 受感染的电子邮件附件(宏),BT网站,恶意广告。 |
| 损害 | 所有文件均已加密,未经勒索解密无法打开。可以与勒索软件感染一起安装其他窃取密码的木马和恶意软件感染。 |
