# Devos 勒索病毒 ## 病毒类型 勒索病毒,Phobos家族的新型变种病毒,加密文件型病毒 ## 症状 * 受感染的文件,文件后缀变成 .devos,并且被加密无法打开 * Task Manager可以发现disk被高度占用 * 电脑卡顿,出现间断性无法正常使用的现象 * 出现警告要求付赎金解密 ## 传播渠道 * 暴力破解remote dekstop connection * 邮件(带病毒的文件或链接) * 软件漏洞 * 公网端口漏洞(3389,3306,445) * 僵尸网络 ## 病毒运作方式、感染过程 1.使用Registry中的SilentCleanup绕过UAC SilentCleanup在Registry (注册表)中的位置 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches 2\. 向病毒源服务器发出请求获取病毒程式 3\. 脱开第一层壳 : 病毒程式开始解密已经在受害设备上的病毒资源段里的AndroidStudio.dll和提取数据 4\. 脱开第二层壳 : call AndroidStudio.dll中的StartGame() {% tabs %} {% tab title="AndroidStudio.dll" %} ```java public static void StartGame(string resource_name, string key_param, string project_name) { Thread.Sleep(38000); byte[] rawAssembly = AndroidClass.XOR_Decrypt(AndroidClass.smethod_0(AndroidClass.Resource_Func(resource_name, project_name)), key_param)); Assembly.Load(rawAssembly).EntryPoint.Invoke(0, null); Environment.Exit(0); } ``` {% endtab %} {% endtabs %} #### StartGame()函数分析 : * 首先使用Thread.Sleep(38000)让CPU 38秒后再来运行StartGame()。 * 使用XOR\_Decrypt异或解密资源里的其它加密文件来还原成.exe执行档 * 唤醒(run)这个exe文件 5.exe文件开始加密受害者设备上的文件 加密步骤与方式: * 扫描正在占用文件的软件/程式,然后把这些软件/程式强制关闭 * 使用RSA加密,生成AES key(AES key + drive serial number + 随机数字补齐128bytes) * 更改文件类型,改为.devos。 * 使用CBC加密文件(把刚刚的AES key也写进文件编码尾部) 6.从病毒服务器获取Disable-Windows-Defender.exe. Disable-Windows-Defender.exe功能分析 : * 修改Registry来阻碍defender的运作 * 调用Get-MpPreference -verbose命令来查看defender的设置 * 调用NetSh Advfirewall set allprofiles state off命令来关闭防火墙 7\. 拷贝系统信息(CPU Type,CPU Core,Processor,Country,IP Address,Mac Address,Location,Program and Features)到system.txt 8\. 拷贝账号信息和密码(通过net user命令)到password.txt 9\. 截图操作系统界面并且保存起来 10\. 把以上三个文件传送回病毒服务器(方便下次进行攻击或钓鱼) 11\. 把病毒程序拷贝到startup(%WinDir% ,%ProgramData% ,%AppData% ,%LocalAppData% ),让病毒程式在电脑每次启动时都会自动运行 12\. 删除shadow file和windows自带的backup功能的backup文件夹(防止不通过解密来恢复加密文件) 13\. Disable windows recovery(防止不通过解密来恢复加密文件) ## 感染后的应对措施 1.立即断网 2.断开所有连接的设备(电脑)和关闭端口(port) 3.如果c盘使用的是独立的硬盘/固态硬盘的话,立即拔除所有盘c以外的所有硬盘/固态硬盘 4.清除病毒。方法有三种:一,直接重灌系统。二,下载清毒软件/工具清毒。 三,依照下一项 的清除病毒步骤进行手动清毒(不建议,除非你是专业技术人员。因为稍微某个步骤做错,都可能导致操作系统无法正常运作) 5\. 拿空的外接硬盘将还未被感染的文件备份起来 {% hint style="info" %} 为了避免不小心备份到病毒程式导致的严重后果,这个外接硬盘千万不能接上有重要文件的电脑,只能接上没有重要文件,没有和其它设备连接而且有开启防毒软件的电脑 {% endhint %} ## 手动清除病毒 (步骤) 1.ControlPanel > Appearance and Personalization > File Explorer Options/folder Options > view > tick show hidden files... > ok 2.C:\Windows\System32\drivers\etc > hosts(使用notepad打开就行了) > 删除掉没有投入使用的网址和ip整行 > save 3.C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup > 删除不是自己有使用的软件的文件 4.打开regedit \ ctrl + f 搜 %WinDir% %ProgramData% %AppData% %LocalAppData% {% hint style="info" %} 这四个一个一个搜,先搜第一个搜了看Data的path是不是你的(你的软件相关),不是的话就删除。删了后再搜回同一个,然后选find next并且重复上述步骤直到搜没有结果了再换下一个搜 {% endhint %} 重复上述步骤直到全部都没有结果了之后,搜寻%Temp% ,然后删除全部temporary,除了default 5.msconfig > boot > tick safe mode > ok > restart ## 预防 * 备份数据。RAID备份、多机异地备份、混合云备份(推荐Azure、Google Cloud Platform)。实在资金有限的话,RAID备份和混合云备份一定要。 * 完善的防火墙设置(严谨的入站规则,过滤,限流) * 所有软件和系统实时更新最新版本,以更新新版本中修复漏洞的安全补丁 * 只使用信赖的软件(盗版请三思) * 关闭所有目前没有在投入使用的端口 * 安装防毒软件,并且确保已开启 * 不乱点击可疑链接或文件 * 使用强口令(至少八位数以上,包含:大小写字母,数字,符号),并且不重复使用 * 删除没有投入使用的系统账号 ## 解密.devos文件 现阶段还没有任何解密方法,由于加密方式的复杂性极高(钥的可能性数量庞大,一般计算机算力不足),因此暴力破解等方式是不可能破解成功的。唯一能够破解的方法只有使用骇客的RSA公钥。然而掌握RSA公钥的只有骇客本人以及有与骇客合作的解密公司。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://noteyialexlee.gitbook.io/yialexlee/master.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.