【数据恢复】.[[email protected]].Devos勒索病毒-Phobos勒索病毒家族

目录

前言：案例简介

一、什么是.[[email protected]].Devos勒索病毒？

二、中了.[[email protected]].Devos后缀的勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据情况

2. 数据恢复完成情况

3. 数据恢复工期

系统安全防护措施建议：

---

前言：案例简介

        2022年，国内某企业称遭到勒索病毒攻击，攻击者渗透了其内部网络后，用恶意软件感染了多台服务器。该企业在发现攻击后，立即采取措施加以遏制。经过排查，确认多台服务器机器被感染。被感染的机器中的所有文件都被添加了“.[[email protected]].Devos”后缀，并且已无法正常打开，通过后缀可确定该病毒为Phobos勒索病毒家族的Devos勒索病毒。

        下面我们来了解看看这个.devos后缀勒索病毒。

---

一、什么是.[[email protected]].Devos勒索病毒？

        我们发现，.[[email protected]].Devos是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时，它会加密文件并在文件名后附加“ .id[XXXXXX].[[email protected]].Devos”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.id[XXXXXX].[[email protected]].Devos”，“ 2.jpg ”显示为“ 2.jpg.id[XXXXXX].[[email protected]].Devos ”，依此类推。加密过程完成后。

        无论采用何种传播方法，攻击通常都以相同的方式进行。.[[email protected]].Devos勒索病毒会扫描用户的计算机以定位他们的数据。接下来，数据锁定木马将触发其加密过程。Devos Ransomware 应用加密算法来安全地锁定所有目标文件。所有经过 Devos Ransomware 加密过程的文件都将更改其名称，因为该木马添加了一个.id[XXXXXX].[[email protected]].Devos对其名称的扩展。正如您从 Devos Ransomware 的扩展中看到的那样，这种威胁为每个受害者生成了一个新的唯一 ID。这有助于攻击者区分已成为其数据锁定木马受害者的各种用户。

.[[email protected]].Devos勒索病毒是如何传播感染的？

经过我们分析中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵。

 

---

二、中了.[[email protected]].Devos后缀的勒索病毒文件怎么恢复？

        此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

        考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可关注91数据恢复公众号免费检测与咨询数据恢复方案。

---

三、恢复案例介绍：

1. 被加密数据情况

        一台公司服务器，需要恢复的数据15万个，主要恢复财务软件U8的账套数据库文件。

 

2. 数据恢复完成情况

        数据完成恢复，15万个文件，除了22个C盘无用的缓存文件以外，其它文件包括账套数据库文件均全部100%恢复。恢复完成的文件均可以正常打开及使用。

 

3. 数据恢复工期

恢复工期：

       一台文件服务器，我们团队在收到客户当天晚上下单开始通宵执行恢复施工，最终于第二天晚上完成了全部数据的恢复，耗时1天。

系统安全防护措施建议：

1.多台机器，不要使用相同的账号和口令

2.登录口令要有足够的长度和复杂性，并定期更换登录口令

3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4.定期检测系统和软件中的安全漏洞，及时打上补丁。

5.定期到服务器检查是否存在异常。

6.安装安全防护软件，并确保其正常运行。

7.从正规渠道下载安装软件。

8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。 

9.保存良好的备份习惯，尽量做到每日备份，异地备份。