【数据恢复】2022年活跃的.devos勒索病毒-Phobos勒索病毒家族
- 客户名称:国内某公司
- 售前服务顾问:刘Sir
- 恢复工程师:张工
- 恢复工期:1天
- 恢复范围:一台服务器
- 恢复率:100%
2022年2月,国内某企业反馈其内部几乎所有的服务器上的文件都被加密无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.[keyforfiles@mailfence.com].Devos”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Phobos勒索病毒。该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动投毒。同时受害者机器上被发现大量工具,从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。
下面我们来了解看看这个.devos后缀勒索病毒。
【数据恢复】2022年活跃的.devos勒索病毒-Phobos勒索病毒家族
案例简介:
2022年2月,国内某企业反馈其内部几乎所有的服务器上的文件都被加密无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.[keyforfiles@mailfence.com].Devos”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Phobos勒索病毒。该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动投毒。同时受害者机器上被发现大量工具,从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。
下面我们来了解看看这个.devos后缀勒索病毒。
目录
一、什么是.[keyforfiles@mailfence.com].Devos勒索病毒?
二、中了.[keyforfiles@mailfence.com].Devos后缀勒索病毒文件怎么恢复?
前言:案例简介
2022年2月,国内某企业反馈其内部几乎所有的服务器上的文件都被加密无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.[keyforfiles@mailfence.com].Devos”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Phobos勒索病毒。该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动投毒。同时受害者机器上被发现大量工具,从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。
下面我们来了解看看这个.devos后缀勒索病毒。
一、什么是.[keyforfiles@mailfence.com].Devos勒索病毒?
我们发现,.[keyforfiles@mailfence.com].Devos 是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时,它会加密文件并在文件名后附加“ .id[XXXXXX].[keyforfiles@mailfence.com].Devos ”扩展名。例如,最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.id[XXXXXX].[keyforfiles@mailfence.com].Devos”,“ 2.jpg ”显示为“ 2.jpg.id[XXXXXX].[keyforfiles@mailfence.com].Devos ”,依此类推。加密过程完成后。
无论采用何种传播方法,攻击通常都以相同的方式进行。.[keyforfiles@mailfence.com].Devos 勒索病毒会扫描用户的计算机以定位他们的数据。接下来,数据锁定木马将触发其加密过程。Devos Ransomware 应用加密算法来安全地锁定所有目标文件。所有经过 Devos Ransomware 加密过程的文件都将更改其名称,因为该木马添加了一个.id[XXXXXX].[keyforfiles@mailfence.com].Devos 对其名称的扩展。正如您从 Devos Ransomware 的扩展中看到的那样,这种威胁为每个受害者生成了一个新的唯一 ID。这有助于攻击者区分已成为其数据锁定木马受害者的各种用户。
.[keyforfiles@mailfence.com].Devos 勒索病毒是如何传播感染的?
经过分析中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵。
二、中了.[keyforfiles@mailfence.com].Devos后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍:
1. 被加密数据情况
一台公司服务器,需要恢复的数据34万个+,数据量大概800G+。
2. 数据恢复完成情况
数据完成恢复,34万个文件,除了几个0KB文件和快捷方式文件以外,其它文件均全部100%恢复。恢复完成的文件均可以正常打开及使用。
预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的,我们团队均可以恢复处理:
.[backinfo@protonmail.com] .devos
.[helpbackup@email.tg].Devos
.[devos@cock.li].Devos
.[deerho@email.tg].Devos
.[helpbackup@email.tg].Devos
.[geerban@email.tg].Devos
.[devos@countermail.com].Devos
.[ggainccu@tutanota.com].Devos
.[squadhack@email.tg].Devos
.[dawhack@email.tg].Devos
.[pushhuck@email.tg].Devos
.[qq1935@mail.fr].Devos
.[devos_devos@tutanota.com].Devos
.[star-new@email.tg].Devos
.[devos_support@pressmail.ch].Devos
.[bob_marley2021@libertymail.net].Devos
.[yourbackup@email.tg].Devos
.[ifirsthelperforunlockyourfiles@privatemail.com].Devos
.[file-manager@email.tg].Devos
.[keyforfiles@mailfence.com].Devos
.[bryan1984jackson@pressmail.ch].Devos
qq1935@mail.fr, time2relax@firemail.cc, pushhuck@email.tg, ifirsthelperforunlockyourfiles@privatemail.com, bryan1984jackson@pressmail.ch, bryan1984jackson@tutanota.com, steven1973parker@libertymail.net, steven1973parker@tutanota.com, backupfiles01@ protonmail.com、william_jefferson1@protonmail.com、yourbackup@email.tg、helpbackup@email.tg、Decryption24h@pm.me、desert_guimauve@aol.com、HelpforFiles@tutanota.com、squadhack@email.tg、decryptfiles@countermail。 com,kabennalzly@aol.com,decryptioner@airmail.cc,savemyfiles@protonmail.com,hjelp.main@protonmail.com,2183313275@qq.com,ambulance@keemail.me,saveyourfiles@qq.com,flopored@protonmail。 com,villiamsscorj_rembly@protonmail.com,howtodecrypt@elude.in,support_2020_locker@protonmail.com,lucky_top@protonmail.com,filemaster777@protonmail.com,file-cloud@email.tg,support.devos777@snugmail.net,filemaster777@tutanota.com, support_devos@protonmail.com, devos_devos@tutanota.com, @devos_support (Telegram), cris_nickson@xmpp.jp (Jabber), devos@countermail.com, geerban@email.tg, devosapp@aaathats3as.com , dawhack@email.tg, star-new@email.tg, hunterducker@cumallover.me, hunterducker@tutanota.com, devos@eml.cc, devos@cock.li, deerho@email.tg, bob_marley1991@libertymail.net , bob_marley2021@libertymail.net, bob_marley1991@tutanota.com, keyforfiles@mailfence.com, keyforfiles@airmail.ccbob_marley1991@libertymail.net, bob_marley2021@libertymail.net, bob_marley1991@tutanota.com, keyforfiles@mailfence.com, keyforfiles@airmail.ccbob_marley1991@libertymail.net, bob_marley2021@libertymail.net, bob_marley1991@tutanota.com, keyforfiles@mailfence.com, keyforfiles@airmail.cc
