BOB彩票

主页
分享互联网新闻
某某资讯网-国内外新闻时事,奇事,新鲜事

「数据恢复」老牌devos勒索病毒之「」Devos

更新时间:2022-05-07 10:35:55点击:

  2022年3月,国内某企业反馈其内部几乎所有的服务器上的文件都被加密无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.[].Devos”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Phobos勒索病毒家族旗下的devos病毒。该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动运行加密程序。同时受害者机器上被发现大量工具,从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。如需恢复数据,可添加我们的数据恢复服务号(shujuxf)进行免费检测与咨询获取数据恢复的相关帮助。

  我们发现,.[].Devos是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时,它会加密文件并在文件名后附加“ .id[XXXXXX].[].Devos”扩展名。例如,最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.id[XXXXXX].[].Devos”,“ 2.jpg ”显示为“ 2.jpg.id[XXXXXX].[].Devos”,依此类推。加密过程完成后。

  无论采用何种传播方法,攻击通常都以相同的方式进行。.[].Devos勒索病毒会扫描用户的计算机以定位他们的数据。接下来,数据锁定木马将触发其加密过程。Devos Ransomware 应用加密算法来安全地锁定所有目标文件。所有经过 Devos Ransomware 加密过程的文件都将更改其名称,因为该木马添加了一个.id[XXXXXX].[].Devos对其名称的扩展。正如您从 Devos Ransomware 的扩展中看到的那样,这种威胁为每个受害者生成了一个新的唯一 ID。这有助于攻击者区分已成为其数据锁定木马受害者的各种用户。

  经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。

  此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。

  考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。

  数据完成恢复,100万个文件均全部100%恢复。恢复完成的文件均可以正常打开及使用。

  预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

  ①及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

  ②尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

  ③不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

  ④企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。

  ⑤数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

  ⑥敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。

  与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的,我们团队均可以恢复处理:

网站地图