Devos 勒索病毒

关于Devos病毒的一些资讯

病毒类型

勒索病毒,Phobos家族的新型变种病毒,加密文件型病毒

症状

  • 受感染的文件,文件后缀变成 .devos,并且被加密无法打开

  • Task Manager可以发现disk被高度占用

  • 电脑卡顿,出现间断性无法正常使用的现象

  • 出现警告要求付赎金解密

传播渠道

  • 暴力破解remote dekstop connection

  • 邮件(带病毒的文件或链接)

  • 软件漏洞

  • 公网端口漏洞(3389,3306,445)

  • 僵尸网络

病毒运作方式、感染过程

1.使用Registry中的SilentCleanup绕过UAC

SilentCleanup在Registry (注册表)中的位置 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches

2. 向病毒源服务器发出请求获取病毒程式

3. 脱开第一层壳 : 病毒程式开始解密已经在受害设备上的病毒资源段里的AndroidStudio.dll和提取数据

4. 脱开第二层壳 : call AndroidStudio.dll中的StartGame() 

public static void StartGame(string resource_name, string key_param, string project_name) 
{ 

Thread.Sleep(38000); 
byte[] rawAssembly = AndroidClass.XOR_Decrypt(AndroidClass.smethod_0(AndroidClass.Resource_Func(resource_name, project_name)), key_param)); 
Assembly.Load(rawAssembly).EntryPoint.Invoke(0, null); 
Environment.Exit(0); 

}

StartGame()函数分析 :

  • 首先使用Thread.Sleep(38000)让CPU 38秒后再来运行StartGame()。

  • 使用XOR_Decrypt异或解密资源里的其它加密文件来还原成.exe执行档

  • 唤醒(run)这个exe文件

5.exe文件开始加密受害者设备上的文件

加密步骤与方式:

  • 扫描正在占用文件的软件/程式,然后把这些软件/程式强制关闭

  • 使用RSA加密,生成AES key(AES key + drive serial number + 随机数字补齐128bytes)

  • 更改文件类型,改为.devos。

  • 使用CBC加密文件(把刚刚的AES key也写进文件编码尾部)

6.从病毒服务器获取Disable-Windows-Defender.exe.

Disable-Windows-Defender.exe功能分析 :

  • 修改Registry来阻碍defender的运作

  • 调用Get-MpPreference -verbose命令来查看defender的设置

  • 调用NetSh Advfirewall set allprofiles state off命令来关闭防火墙

7. 拷贝系统信息(CPU Type,CPU Core,Processor,Country,IP Address,Mac Address,Location,Program and Features)到system.txt

8. 拷贝账号信息和密码(通过net user命令)到password.txt

9. 截图操作系统界面并且保存起来

10. 把以上三个文件传送回病毒服务器(方便下次进行攻击或钓鱼)

11. 把病毒程序拷贝到startup(%WinDir% ,%ProgramData% ,%AppData% ,%LocalAppData% ),让病毒程式在电脑每次启动时都会自动运行

12. 删除shadow file和windows自带的backup功能的backup文件夹(防止不通过解密来恢复加密文件)

13. Disable windows recovery(防止不通过解密来恢复加密文件)

感染后的应对措施

1.立即断网

2.断开所有连接的设备(电脑)和关闭端口(port)

3.如果c盘使用的是独立的硬盘/固态硬盘的话,立即拔除所有盘c以外的所有硬盘/固态硬盘

4.清除病毒。方法有三种:一,直接重灌系统。二,下载清毒软件/工具清毒。 三,依照下一项 的清除病毒步骤进行手动清毒(不建议,除非你是专业技术人员。因为稍微某个步骤做错,都可能导致操作系统无法正常运作)

5. 拿空的外接硬盘将还未被感染的文件备份起来

为了避免不小心备份到病毒程式导致的严重后果,这个外接硬盘千万不能接上有重要文件的电脑,只能接上没有重要文件,没有和其它设备连接而且有开启防毒软件的电脑

手动清除病毒 (步骤)

1.ControlPanel > Appearance and Personalization > File Explorer Options/folder Options > view > tick show hidden files... > ok

2.C:\Windows\System32\drivers\etc > hosts(使用notepad打开就行了) > 删除掉没有投入使用的网址和ip整行 > save

3.C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup > 删除不是自己有使用的软件的文件

4.打开regedit ctrl + f 搜 %WinDir% %ProgramData% %AppData% %LocalAppData%

这四个一个一个搜,先搜第一个搜了看Data的path是不是你的(你的软件相关),不是的话就删除。删了后再搜回同一个,然后选find next并且重复上述步骤直到搜没有结果了再换下一个搜

重复上述步骤直到全部都没有结果了之后,搜寻%Temp% ,然后删除全部temporary,除了default

5.msconfig > boot > tick safe mode > ok > restart

预防

  • 备份数据。RAID备份、多机异地备份、混合云备份(推荐Azure、Google Cloud Platform)。实在资金有限的话,RAID备份和混合云备份一定要。

  • 完善的防火墙设置(严谨的入站规则,过滤,限流)

  • 所有软件和系统实时更新最新版本,以更新新版本中修复漏洞的安全补丁

  • 只使用信赖的软件(盗版请三思)

  • 关闭所有目前没有在投入使用的端口

  • 安装防毒软件,并且确保已开启

  • 不乱点击可疑链接或文件

  • 使用强口令(至少八位数以上,包含:大小写字母,数字,符号),并且不重复使用

  • 删除没有投入使用的系统账号

解密.devos文件

现阶段还没有任何解密方法,由于加密方式的复杂性极高(钥的可能性数量庞大,一般计算机算力不足),因此暴力破解等方式是不可能破解成功的。唯一能够破解的方法只有使用骇客的RSA公钥。然而掌握RSA公钥的只有骇客本人以及有与骇客合作的解密公司。

Last updated