# Devos 勒索病毒

## 病毒类型

勒索病毒，Phobos家族的新型变种病毒，加密文件型病毒  

## 症状

* 受感染的文件，文件后缀变成 .devos，并且被加密无法打开
* Task Manager可以发现disk被高度占用
* 电脑卡顿，出现间断性无法正常使用的现象
* 出现警告要求付赎金解密

## 传播渠道

* 暴力破解remote dekstop connection
* 邮件（带病毒的文件或链接）
* 软件漏洞
* 公网端口漏洞（3389，3306，445）
* 僵尸网络

## 病毒运作方式、感染过程 

1.使用Registry中的SilentCleanup绕过UAC 

SilentCleanup在Registry (注册表）中的位置 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches 

2\. 向病毒源服务器发出请求获取病毒程式 

3\. 脱开第一层壳 : 病毒程式开始解密已经在受害设备上的病毒资源段里的AndroidStudio.dll和提取数据 

4\. 脱开第二层壳 : call AndroidStudio.dll中的StartGame() 

{% tabs %}
{% tab title="AndroidStudio.dll" %}

```java
public static void StartGame(string resource_name, string key_param, string project_name) 
{ 

Thread.Sleep(38000); 
byte[] rawAssembly = AndroidClass.XOR_Decrypt(AndroidClass.smethod_0(AndroidClass.Resource_Func(resource_name, project_name)), key_param)); 
Assembly.Load(rawAssembly).EntryPoint.Invoke(0, null); 
Environment.Exit(0); 

}
```

{% endtab %}
{% endtabs %}

#### StartGame()函数分析 :

* 首先使用Thread.Sleep(38000)让CPU 38秒后再来运行StartGame()。
* 使用XOR\_Decrypt异或解密资源里的其它加密文件来还原成.exe执行档
* 唤醒（run）这个exe文件

5.exe文件开始加密受害者设备上的文件

加密步骤与方式：

* 扫描正在占用文件的软件/程式，然后把这些软件/程式强制关闭
* 使用RSA加密，生成AES key（AES key + drive serial number + 随机数字补齐128bytes）
* 更改文件类型，改为.devos。
* 使用CBC加密文件（把刚刚的AES key也写进文件编码尾部）

6.从病毒服务器获取Disable-Windows-Defender.exe.

Disable-Windows-Defender.exe功能分析 : 

* 修改Registry来阻碍defender的运作
* 调用Get-MpPreference -verbose命令来查看defender的设置
* 调用NetSh Advfirewall set allprofiles state off命令来关闭防火墙

7\. 拷贝系统信息（CPU Type,CPU Core,Processor,Country,IP Address,Mac Address,Location,Program and Features）到system.txt

8\. 拷贝账号信息和密码（通过net user命令）到password.txt

9\. 截图操作系统界面并且保存起来

10\. 把以上三个文件传送回病毒服务器（方便下次进行攻击或钓鱼）

11\. 把病毒程序拷贝到startup（%WinDir% ，%ProgramData% ，%AppData% ，%LocalAppData% ），让病毒程式在电脑每次启动时都会自动运行

12\. 删除shadow file和windows自带的backup功能的backup文件夹（防止不通过解密来恢复加密文件）

13\. Disable windows recovery（防止不通过解密来恢复加密文件）

## 感染后的应对措施

1.立即断网 

2.断开所有连接的设备（电脑）和关闭端口(port) 

3.如果c盘使用的是独立的硬盘/固态硬盘的话,立即拔除所有盘c以外的所有硬盘/固态硬盘 

4.清除病毒。方法有三种：一，直接重灌系统。二，下载清毒软件/工具清毒。 三，依照下一项              的清除病毒步骤进行手动清毒（不建议，除非你是专业技术人员。因为稍微某个步骤做错，都可能导致操作系统无法正常运作）

5\. 拿空的外接硬盘将还未被感染的文件备份起来

{% hint style="info" %}
为了避免不小心备份到病毒程式导致的严重后果，这个外接硬盘千万不能接上有重要文件的电脑，只能接上没有重要文件，没有和其它设备连接而且有开启防毒软件的电脑
{% endhint %}

## 手动清除病毒 （步骤）

1.ControlPanel > Appearance and Personalization > File Explorer Options/folder Options > view > tick show hidden files... > ok 

2.C:\Windows\System32\drivers\etc > hosts(使用notepad打开就行了) > 删除掉没有投入使用的网址和ip整行 > save 

3.C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup > 删除不是自己有使用的软件的文件 

4.打开regedit \
ctrl + f 搜 %WinDir% %ProgramData% %AppData% %LocalAppData% 

{% hint style="info" %}
这四个一个一个搜，先搜第一个搜了看Data的path是不是你的（你的软件相关），不是的话就删除。删了后再搜回同一个，然后选find next并且重复上述步骤直到搜没有结果了再换下一个搜
{% endhint %}

重复上述步骤直到全部都没有结果了之后，搜寻%Temp% ，然后删除全部temporary，除了default 

5.msconfig > boot > tick safe mode > ok > restart

## 预防

*  备份数据。RAID备份、多机异地备份、混合云备份（推荐Azure、Google Cloud Platform）。实在资金有限的话，RAID备份和混合云备份一定要。
* 完善的防火墙设置（严谨的入站规则，过滤，限流）
* 所有软件和系统实时更新最新版本，以更新新版本中修复漏洞的安全补丁
* 只使用信赖的软件（盗版请三思）
* 关闭所有目前没有在投入使用的端口
* 安装防毒软件，并且确保已开启
* 不乱点击可疑链接或文件
* 使用强口令（至少八位数以上，包含：大小写字母，数字，符号），并且不重复使用
* 删除没有投入使用的系统账号

## 解密.devos文件

现阶段还没有任何解密方法，由于加密方式的复杂性极高（钥的可能性数量庞大，一般计算机算力不足），因此暴力破解等方式是不可能破解成功的。唯一能够破解的方法只有使用骇客的RSA公钥。然而掌握RSA公钥的只有骇客本人以及有与骇客合作的解密公司。