【killhackfiles＠cock.li】.Devos后缀勒索病毒解密｜数据库恢复

1.后缀[killhackfiles@cock.li].Devos勒索病毒介绍?

[killhackfiles@cock.li].Devos勒索病毒 是 Phobos 勒索病毒家族的一部分。与大多数此类程序一样，通过加密阻止对文件的访问、更改文件名并为受害者提供有关如何恢复文件的说明。该勒索软件通过添加受害者的 ID、开发人员的电子邮件地址并将“[killhackfiles@cock.li].Devos”扩展名附加到文件名来重命名所有加密文件来限制对数据（文档、图像、视频）的访问。

然后，它试图通过以比特币加密货币的形式要求“赎金”来向受害者勒索钱财，以换取对数据的访问。勒索病毒将扫描您的计算机以查找图像、视频以及重要的生产力文档和文件，例如 .doc、.docx、.xls、.pdf。当检测到这些文件时，勒索软件会对它们进行加密并将其扩展名更改为“[killhackfiles@cock.li].Devos”，这样您就无法再打开它们。

例如，它将“ 1.jpg ”重命名为“ 1.jpg.id[XXXXXX][killhackfiles@cock.li].Devos”等等。它向受害者提供了两条勒索信息：一条在弹出窗口（“ info.hta ”文件）中，另一条在名为“ info.txt ”的文本文件中。

“info.txt”文件包含一个电子邮件地址，用于联系网络犯罪分子。“info.hta”窗口包含更详细的勒索消息，其中指出电子邮件必须包含指定的 ID，并且最多可以包含五个附件（加密文件），网络犯罪分子将免费解密这些附件。

一条鼓励用户支付赎金以解密受感染数据的消息的屏幕截图：

2.后缀[killhackfiles@cock.li].Devos勒索病毒是如何感染我的电脑的？

经过分析多家公司感染[killhackfiles@cock.li].Devos勒索病毒后的机器环境及系统日志判断，[killhackfiles@cock.li].Devos勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易很多。

1.邮件传播

2.漏洞入侵

3.远程桌面入侵

4.网站挂马传播

5.恶意软件传播

6.共享文件夹入侵

7.U盘蠕虫传播

8.其他弱口令入侵

3.如何删除后缀[killhackfiles@cock.li].Devos勒索病毒？下载删除工具。

常用的工具例如 360杀毒，火绒安全，金山杀毒都可以检测出后缀[killhackfiles@cock.li].Devos勒索病毒并对其进行查杀。

与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的，请务必注意防范：

[henderson@cock.li].Devos勒索病毒

[myers@cock.li].Devos勒索病毒

4.如何恢复后缀[killhackfiles@cock.li].Devos勒索病毒？

此后缀病毒文件由于加密算法的原因，感染的每台电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可进行免费咨询获取数据恢复的相关帮助。

5.如何避免后缀[killhackfiles@cock.li].Devos勒索病毒进攻？

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

尽量关闭不必要的文件共享。

提高安全运维人员职业素养，定期进行木马病毒查杀。