记一次中Phobos家族Devos勒索病毒

2021年5月28日，星期五早晨，像往常一样，照例打开电脑准备工作。突然发现桌面有几个莫名其妙的DOS运行窗口，虽有疑惑但并未仔细确认。将几个窗口直接关闭。关闭窗口几秒钟后,突然发现桌面上的图标或文件突然都变成了灰色。再仔细一查看。变成了灰色的文件后缀都莫名其妙加了一串值，在最后的后缀为Devos。突然惊醒，这东西似曾相识。预感到了事情不妙。

对于眼前的一切，我立即意识到了这是勒索病毒。然后我马上查看了一下除了桌面以外的其它盘符的文件。 一确认，我心都凉了半截。整个电脑大部分文件都变成了灰色状态（被加密后添加了文件后缀）。

我深知这种病毒的厉害。很害怕病毒在公司局域网持续传播，我立即拔掉了自己电脑的网线。拔掉网线后我想结束掉病毒程序，防止自己电脑文件都被加密。打开任务管理器想结束掉病毒程序，但不知道病毒的进程到底是哪一条，无法结束。后来眼睁睁的看着文件被逐步加密（中毒）。

由于电脑文件都被逐步加密（中毒），自己手头上确还有很多工作要做。只有想办法快速恢复工作。很无奈的决定重装系统，格式化整个硬盘。

在我重装系统的过程中，有同事在讨论某些文件无法访问和使用。 后来经过我确认发现都是Phobos家族的Devos勒索病毒。我意识到了事情的严重性。立马找来公司前台发了一个紧急通知。通知如下：

打开内网某台服务器，发现桌面上的文件都被加密了。并且在桌面上有我早上自己电脑上看到过的类似DOS窗口。

下午工作工程中再次发现某台内部用的服务器异常卡顿，桌面上也有超熟悉的DOS窗口，而这些运行文件的存放位置也异常诡异。存放位置位于用户账户下的music目录内。

由于服务器是公司内部公用电脑，有多个同事可以访问。于是将刚才几个异常目录下的文件调出来让同事确认是否是同事存放的。经过确认所有人都说这些文件不是他们存放的。因此我将这几个可疑程序进行了加密拷贝。方便后续的相应分析。

后续将这些异常文件拷贝到虚拟机进行运行，发现无论是否断网。这些病毒程序都可以大概十几秒钟时间里感染桌面及系统盘大部分文件。

中此病毒症状就是有电脑文件被加密。

病毒的研发者最终目的是勒索钱财（比特币），所以在加密一定文件后会给你提醒交付赎金的联系方式。联系方式如下：

当发现自己电脑中毒后，为了保证局域网更多电脑不被受损，请按照以下流程依次操作

个人认为此次我经历的传播方式就是共享文件传播，下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享，然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。

杀毒软件1：win10 自带 Windows Defender 软件

杀毒软件2：360安全卫士

经过确认，2款软件只要病毒库是最新版都可以进行相应的拦截与提醒。

其中：Fast \ NS-v2 \ Loggy cleaner3款软件为病毒文件，其它文件疑似属于病毒文件扩散用的配套软件。

勒索病毒Devos中毒过程演示.mp4

相关资料引用与学习：

1. 2021年最猖狂的勒索病毒之一 .devos后缀勒索病毒是什么？如何应对处理？

2. 勒索病毒为什么那么难破解.mp4

3. 遇到勒索软件千万别关机！被黑客勒索怎么破？

4. B站知名UP主 视频素材被勒索（视频75万人点赞、4万转发）

郑秀晶SNS被黑客侵入，到底是怎么回事？

2014-08-17 回答

有黑粉总想登录秀晶的帐号，秀晶有警告过，但黑粉继续猖狂，秀晶受不了就关了。29日，郑秀晶将SNS账户的备注修改成：STOP HACKING。据悉郑秀晶的SNS经常受到黑客攻击，因此饱受困扰，不得不在SNS发声希望黑客停手。

母校成均馆大学

成均馆大学是韩国历史悠久的高等学府，也是韩国的一所现代化综合性大学，在韩国大学综合排名中一直位列前十名。推荐专业：美术科，设计科，舞蹈系，电影·电视及多媒体传媒系，演技艺术系;明星校友：郑秀晶、裴勇俊、池贤宇、具惠善、周元、金南珠、郑烘原、 车胜元 、宋仲基、文根英 、朴孝敏、徐智慧;

成均馆双校花

当年的“成均馆双校花”，这里说的成均馆说的是韩国的成均馆大学，是一所拥有600多年历史的学府。

很多明星都是这所学校毕业出来的，比如曾经被称为“成大校草”的宋仲基，还有文根英、车银优、具惠善等等。这所大学有开设演艺艺术学系，所以也有不少怀抱演戏梦想的人考入这所大学。

郑秀晶的第一条微博

　这个来自女团组合的94年妹子开微博仅仅几天，就已经占据了新浪明星榜的榜首，让这2天刚开完演唱会，正火热着的G-Dragon同学都落到了第三的位置。秀晶妹子出生于1994年，2000年与妈妈、姐姐（郑秀妍）逛百货公司的时候被韩国S.M.Entertainment公司星探发掘。2009年以f（x）组合出道。

兢兢业业大美女

郑秀晶此前在采访中提到自己为了孕妇角色而增肥，同时介绍了自己的增肥方法。

郑秀晶介绍说："第一次见导演时正在减肥，本来是为了进入新作品而进行减肥，但导演说孕妇不能太瘦，所以中断了减肥和导演一起去吃好吃的了。没有特别的食谱，但平时本来只吃两餐左右，拍摄这部作品时吃三四餐，吃了饭又吃甜点，一直这样反复。"

B站崩溃引发众人议论，为何会出现这种情况？

这其实很正常，因为很多人都在玩B站，B站拥有很大的流量群体，所以它崩了就会引发众人热议。B站是一个弹幕视频网站，最初起源于A站。当然，这两个网站之间的恩恩怨怨，我是不太了解。

但是，这么多年，A站和B站之间，恩恩怨怨是越来越多，两个网站的用户，对于对方网站都十分敌视。所以，在B站崩溃之后，还有很大一部分的A站用户，对此表示庆幸。当然，还有一大部分人，是B站的用户。

因为都是弹幕网站出来的，所以都很有“梗”。他们对B站崩了这件事，纷纷展开自己的脑洞，有的人说，是黑客攻击了B站。不，应该是黑客攻击了整个网络，还说百度已经召开了紧急会议，市值已经蒸发了十几个亿了。

总之，怎么严重怎么说。然后，还说其实不是黑客攻击了B站，而是B站的头头陈睿被暗杀了。因为被暗杀，所以B站服务器崩溃了。还有一种说法，说是删库跑路了。

当然，其他的类似于哥斯拉炸大楼、奥特曼炸大楼之类的，就不用多说了。当然，还有几个像是真的一样的传言。据说B站大楼其实是停电了，从一楼到二十二楼一个人都没有了。这个后来被人提出是假的，因为B站压根就没有二十二楼。

还有就是，有人还说了，这其实是因为B站停电了。这个就更离谱了，停电虽然可以造成服务器短期失联，但是也不会停好几个小时啊。还有，上海作为国际大都市，哪有那么容易就会停电的。

总之，就是B站知名度有点高，所以导致出现了一堆的传言，还有很多人借此机会玩梗。怎么说呢，小破站可以发展到这种程度，也算是不错了。