处理eking.Devos勒索病毒防范解密恢复操作攻略

什么是勒索病毒？怎么感染的病毒？怎么恢复中毒文件？怎么防范？

【什么是勒索病毒】

Eking和Devos 病毒都属于Phobos 勒索软件家族。该勒索软件会加密 PC 上的所有用户数据（照片、文档、Excel 表格、音乐、视频等），并将其特定扩展名添加到每个文件中。

这里我们以eking病毒针对介绍，devos类同。加密过程后文件将根据模式id[xxxxxxxx-xxxx].[[email protected]].eking重命名，该模式位于勒索软件中。您的照片，名为“ag.jpg”的示例将在加密后更改为“ ag.jpg.id[xxxxxxxx-xxxx].[[email protected]].eking ”。并在每个目录中留下一个病毒加密说明，里面除了病毒介绍外还留了信息，以获取赎金。

【怎么感染的病毒】

病毒大部分是以注入方式——垃圾邮件和木马。您可能会在电子邮中看到很多消息奇怪的，或诱导性质的邮。但是所有这些消息都是从未知的电子邮地址发送的，而不是来自这些公司熟悉的官方电子邮。所有此类信件都包含附件，该文件用作勒索软件载体。如果您打开此文件 - 您的系统将被 Eking 感染。

如果存在特洛伊木马，您将被要求以合法的方式在您的 PC 上下载和安装勒索软件，例如 Chrome 更新或您存储在计算机上的软件的更新。有时，特洛伊木马病毒可能被伪装成合法程序，勒索软件将作为重要更新或对程序正常运行至关重要的一大包扩展提供下载，警惕这些木马：Win32/Ymacco.AA3E, Trojan.Win32.Runner.ins, Win32/Ymacco.AA9E。

【怎么恢复中毒文件】

这种勒索病毒大部分采用的都是非常复杂AES非对称加密算法，对文件内容进行加密封锁。这种算法的研发本身是应用在很多安全领域，防止数据泄露，后面被不良技术用在病毒中，这种算法非常安全，基本上不会有破坏漏洞，所以想技术硬性破解几乎不可能。

当然也不排除有些人因为粗心大意导致留下漏洞可寻，在市面上能破解的病毒也很多，而且都是免费提供工具处理的，国内的某0就提供了一个免费入口，给大家测试解密，在国际上也有类似提供免费破解的公益团队，针对的病毒后缀都是有限的，根据笔者自己测试和某0工程师沟通的结论是Eking和Devos当前是不支持解密的，因为没办法破解其算法。

那是不是就没有办法恢复文件了呢？除了破解算法的道路，还有另一个方向，就是针对数据库文件根据数据碎片重组进行修复，之前看到的博客中有做介绍https://pangniao.netlify.app/。在这里笔者强烈建议大家不要跟对方妥协去支付赎金，因为赎金不但昂贵，而且还是用的一个非罚渠道支付（大部分是以数字货币的形式），没有任何安全保障可言，就算你付出了代价也不一定能拿到有用的解密工具。

【如何防范】

不要在不相关的电子邮件中打开链接或附件，尤其是当邮件来自未知、可疑的地址时。软件只能从官方网站和直接链接下载。不应信任非官方网页、第三方下载器/安装程序和其他渠道/来源（上述）。

使用官方软件开发商提供的实现功能/工具正确更新和激活软件。其他工具通常用于分发恶意软件，此外，使用非官方的第三方工具激活许可软件是非法的。

使用信誉良好的防病毒软件或反间谍软件扫描您的系统并使其保持最新状态。开启杀毒软件的同时记得设置软件退出密码保护，防止恶意退出。电脑要定期重启安装系统补丁。

重要数据异地要做异地备份，只是选择两个地方备份，例如本店移动硬盘，和网盘。

【中病毒应急策略】

发现中病毒，第一时间断网关机，防止病毒扩散，扩大感染范围。在关机后通过PE进入电脑查看文件中毒情况，并第一时间把重要文件备份到移动设备中。