Devos 勒索病毒
关于Devos病毒的一些资讯
病毒类型
勒索病毒,Phobos家族的新型变种病毒,加密文件型病毒
症状
受感染的文件,文件后缀变成 .devos,并且被加密无法打开
Task Manager可以发现disk被高度占用
电脑卡顿,出现间断性无法正常使用的现象
出现警告要求付赎金解密
传播渠道
暴力破解remote dekstop connection
邮件(带病毒的文件或链接)
软件漏洞
公网端口漏洞(3389,3306,445)
僵尸网络
病毒运作方式、感染过程
1.使用Registry中的SilentCleanup绕过UAC
SilentCleanup在Registry (注册表)中的位置 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches
2. 向病毒源服务器发出请求获取病毒程式
3. 脱开第一层壳 : 病毒程式开始解密已经在受害设备上的病毒资源段里的AndroidStudio.dll和提取数据
4. 脱开第二层壳 : call AndroidStudio.dll中的StartGame()
StartGame()函数分析 :
首先使用Thread.Sleep(38000)让CPU 38秒后再来运行StartGame()。
使用XOR_Decrypt异或解密资源里的其它加密文件来还原成.exe执行档
唤醒(run)这个exe文件
5.exe文件开始加密受害者设备上的文件
加密步骤与方式:
扫描正在占用文件的软件/程式,然后把这些软件/程式强制关闭
使用RSA加密,生成AES key(AES key + drive serial number + 随机数字补齐128bytes)
更改文件类型,改为.devos。
使用CBC加密文件(把刚刚的AES key也写进文件编码尾部)
6.从病毒服务器获取Disable-Windows-Defender.exe.
Disable-Windows-Defender.exe功能分析 :
修改Registry来阻碍defender的运作
调用Get-MpPreference -verbose命令来查看defender的设置
调用NetSh Advfirewall set allprofiles state off命令来关闭防火墙
7. 拷贝系统信息(CPU Type,CPU Core,Processor,Country,IP Address,Mac Address,Location,Program and Features)到system.txt
8. 拷贝账号信息和密码(通过net user命令)到password.txt
9. 截图操作系统界面并且保存起来
10. 把以上三个文件传送回病毒服务器(方便下次进行攻击或钓鱼)
11. 把病毒程序拷贝到startup(%WinDir% ,%ProgramData% ,%AppData% ,%LocalAppData% ),让病毒程式在电脑每次启动时都会自动运行
12. 删除shadow file和windows自带的backup功能的backup文件夹(防止不通过解密来恢复加密文件)
13. Disable windows recovery(防止不通过解密来恢复加密文件)
感染后的应对措施
1.立即断网
2.断开所有连接的设备(电脑)和关闭端口(port)
3.如果c盘使用的是独立的硬盘/固态硬盘的话,立即拔除所有盘c以外的所有硬盘/固态硬盘
4.清除病毒。方法有三种:一,直接重灌系统。二,下载清毒软件/工具清毒。 三,依照下一项 的清除病毒步骤进行手动清毒(不建议,除非你是专业技术人员。因为稍微某个步骤做错,都可能导致操作系统无法正常运作)
5. 拿空的外接硬盘将还未被感染的文件备份起来
为了避免不小心备份到病毒程式导致的严重后果,这个外接硬盘千万不能接上有重要文件的电脑,只能接上没有重要文件,没有和其它设备连接而且有开启防毒软件的电脑
手动清除病毒 (步骤)
1.ControlPanel > Appearance and Personalization > File Explorer Options/folder Options > view > tick show hidden files... > ok
2.C:\Windows\System32\drivers\etc > hosts(使用notepad打开就行了) > 删除掉没有投入使用的网址和ip整行 > save
3.C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup > 删除不是自己有使用的软件的文件
4.打开regedit ctrl + f 搜 %WinDir% %ProgramData% %AppData% %LocalAppData%
这四个一个一个搜,先搜第一个搜了看Data的path是不是你的(你的软件相关),不是的话就删除。删了后再搜回同一个,然后选find next并且重复上述步骤直到搜没有结果了再换下一个搜
重复上述步骤直到全部都没有结果了之后,搜寻%Temp% ,然后删除全部temporary,除了default
5.msconfig > boot > tick safe mode > ok > restart
预防
备份数据。RAID备份、多机异地备份、混合云备份(推荐Azure、Google Cloud Platform)。实在资金有限的话,RAID备份和混合云备份一定要。
完善的防火墙设置(严谨的入站规则,过滤,限流)
所有软件和系统实时更新最新版本,以更新新版本中修复漏洞的安全补丁
只使用信赖的软件(盗版请三思)
关闭所有目前没有在投入使用的端口
安装防毒软件,并且确保已开启
不乱点击可疑链接或文件
使用强口令(至少八位数以上,包含:大小写字母,数字,符号),并且不重复使用
删除没有投入使用的系统账号
解密.devos文件
现阶段还没有任何解密方法,由于加密方式的复杂性极高(钥的可能性数量庞大,一般计算机算力不足),因此暴力破解等方式是不可能破解成功的。唯一能够破解的方法只有使用骇客的RSA公钥。然而掌握RSA公钥的只有骇客本人以及有与骇客合作的解密公司。
Last updated
Was this helpful?