记一次中Phobos家族Devos勒索病毒

Posted 2023-05-08

参考技术A 2021年5月28日，星期五早晨，像往常一样，照例打开电脑准备工作。突然发现桌面有几个莫名其妙的DOS运行窗口，虽有疑惑但并未仔细确认。将几个窗口直接关闭。关闭窗口几秒钟后,突然发现桌面上的图标或文件突然都变成了灰色。再仔细一查看。变成了灰色的文件后缀都莫名其妙加了一串值，在最后的后缀为Devos。突然惊醒，这东西似曾相识。预感到了事情不妙。

对于眼前的一切，我立即意识到了这是勒索病毒。然后我马上查看了一下除了桌面以外的其它盘符的文件。 一确认，我心都凉了半截。整个电脑大部分文件都变成了灰色状态（被加密后添加了文件后缀）。

我深知这种病毒的厉害。很害怕病毒在公司局域网持续传播，我立即拔掉了自己电脑的网线。拔掉网线后我想结束掉病毒程序，防止自己电脑文件都被加密。打开任务管理器想结束掉病毒程序，但不知道病毒的进程到底是哪一条，无法结束。后来眼睁睁的看着文件被逐步加密（中毒）。

由于电脑文件都被逐步加密（中毒），自己手头上确还有很多工作要做。只有想办法快速恢复工作。很无奈的决定重装系统，格式化整个硬盘。

在我重装系统的过程中，有同事在讨论某些文件无法访问和使用。 后来经过我确认发现都是Phobos家族的Devos勒索病毒。我意识到了事情的严重性。立马找来公司前台发了一个紧急通知。通知如下：

打开内网某台服务器，发现桌面上的文件都被加密了。并且在桌面上有我早上自己电脑上看到过的类似DOS窗口。

下午工作工程中再次发现某台内部用的服务器异常卡顿，桌面上也有超熟悉的DOS窗口，而这些运行文件的存放位置也异常诡异。存放位置位于用户账户下的music目录内。

由于服务器是公司内部公用电脑，有多个同事可以访问。于是将刚才几个异常目录下的文件调出来让同事确认是否是同事存放的。经过确认所有人都说这些文件不是他们存放的。因此我将这几个可疑程序进行了加密拷贝。方便后续的相应分析。

后续将这些异常文件拷贝到虚拟机进行运行，发现无论是否断网。这些病毒程序都可以大概十几秒钟时间里感染桌面及系统盘大部分文件。

中此病毒症状就是有电脑文件被加密。

病毒的研发者最终目的是勒索钱财（比特币），所以在加密一定文件后会给你提醒交付赎金的联系方式。联系方式如下：

当发现自己电脑中毒后，为了保证局域网更多电脑不被受损，请按照以下流程依次操作

个人认为此次我经历的传播方式就是共享文件传播，下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享，然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。

杀毒软件1：win10 自带 Windows Defender 软件
杀毒软件2：360安全卫士

经过确认，2款软件只要病毒库是最新版都可以进行相应的拦截与提醒。

其中：Fast \ NS-v2 \ Loggy cleaner3款软件为病毒文件，其它文件疑似属于病毒文件扩散用的配套软件。

勒索病毒Devos中毒过程演示.mp4

相关资料引用与学习：
1. 2021年最猖狂的勒索病毒之一 .devos后缀勒索病毒是什么？如何应对处理？
2. 勒索病毒为什么那么难破解.mp4
3. 遇到勒索软件千万别关机！被黑客勒索怎么破？
4. B站知名UP主 视频素材被勒索（视频75万人点赞、4万转发）

解密Phobos勒索病毒加密文件 删除病毒

Dharma/crysis系列病毒又有最新的后缀Phobos
上海某医药公司中了后缀是phobos的勒索病毒，找到我们q2362441418后，当天解密成功，百分百解密

**PHOBOS勒索病毒是一种破坏性的加密病毒，最近在针对全球计算机用户的***活动中发布。威胁行为者可能正在利用广泛使用的分发策略来感染计算机系统。

PHOBOS勒索病毒背后的恶意行为者可能使用的方法之一包括SPAM电子邮件消息的协调- 它们用于通过发送由受欢迎的Internet门户或目标可能提供的服务发送的合法通知的消息来传播威胁。使用。病毒文件可以直接附加或链接在正文中。它们也可以上传到伪造的下载站点，这些站点的设计与任何流行的Internet门户或供应商下载站点相似。恶意行为者可能会使用类似的声音域名，证书和被劫持的设计和内容来强迫受害者认为他们正在访问合法地址。

威胁可能传播的另一种方式是通过受感染的有效负载 - 使用受病毒代码感染的各种文件。一个流行的例子是可以采取任何形式的恶意文档：演示文稿，富文本文件，电子表格和数据库。一旦受害者打开它们，就会弹出一条通知消息，要求目标用户启用内置脚本。如果这样做，病毒感染将随之而来。另一种流行的技术是在应用程序安装程序中包含代码。它们是使用PHOBOS勒索软件代码修改的流行最终用户程序的合法安装文件的恶意副本。

勒索软件文件也通过虚假用户配置文件广泛传播- 他们可以发布到社区论坛或社交媒体帐户。犯罪分子可以利用假身份或被盗身份来增加受感染用户的数量。

在某些情况下，犯罪分子也可能通过恶意浏览器插件进行分发- 这些插件被广告宣传为最有用的网络浏览器。插件上传到官方存储库，并经常使用假的或被劫持的用户评论和开发人员凭证。一旦用户安装它们，它们将执行其内置指令，在许多情况下最终会导致PHOBOS勒索病毒感染。**
中了勒索病毒不要紧张，找对方法是关键！

预防性安全措施

1 启用并正确配置防火墙。
2 安装和维护可靠的反恶意软件。
3 保护您的Web浏览器。
4 定期检查可用的软件更新并应用它们。
5 禁用Office文档中的宏。
6 使用强密码。
7 除非您确定它们是安全的，否则请勿打开附件或点击链接。
8 定期备份您的数据。
9 找专业的恢复公司，q2362441418