devos病毒加密文件破解

A. 文件加密的破解方法

文件加密特別是加密軟體，一般針對的是進程和後綴來進行加密，文件被加密之後，除非知道他的加密密鑰不然直接強行破解是不可行的，但是此類只針對辦公人員這些，對於專業的研發人員來說，可以說是形同虛設，可針對進行繞過此類軟體。方法如下：
(1)通過編寫程序把代碼或者內容寫到log文件中，因為log文件是不好做加密的，可以直接中轉走。
(2)可以通過編寫代碼，將內容直接列印到控制台上然後直接轉存走。
(3)如果懂socket通信程序的話，可以通過socket通信程序，把數據可以明文傳走。不僅socket，還有消息、LPC、COM、MUTEX、管道等進程通信方式可以嘗試。
(4)可通過發布網站，比如iis，tomcat，apache等把數據直接發布到網頁中，這個也是沒法做加密的。
(5)外設調試中轉，比如設備的調試啊，燒錄啊這些的都可以當中轉設備，把數據給搞出去。
當然了，如果你們用的軟體可以直接網上搜到，那麼他的破解方法也是多如牛毛的，網上大神千千萬，此類軟體不夠看。

B. 記一次中Phobos家族Devos勒索病毒

2021年5月28日，星期五早晨，像往常一樣，照例打開電腦准備工作。突然發現桌面有幾個莫名其妙的DOS運行窗口，雖有疑惑但並未仔細確認。將幾個窗口直接關閉。關閉窗口幾秒鍾後,突然發現桌面上的圖標或文件突然都變成了灰色。再仔細一查看。變成了灰色的文件後綴都莫名其妙加了一串值，在最後的後綴為Devos。突然驚醒，這東西似曾相識。預感到了事情不妙。

對於眼前的一切，我立即意識到了這是勒索病毒。然後我馬上查看了一下除了桌面以外的其它盤符的文件。 一確認，我心都涼了半截。整個電腦大部分文件都變成了灰色狀態（被加密後添加了文件後綴）。

我深知這種病毒的厲害。很害怕病毒在公司區域網持續傳播，我立即拔掉了自己電腦的網線。拔掉網線後我想結束掉病毒程序，防止自己電腦文件都被加密。打開任務管理器想結束掉病毒程序，但不知道病毒的進程到底是哪一條，無法結束。後來眼睜睜的看著文件被逐步加密（中毒）。

由於電腦文件都被逐步加密（中毒），自己手頭上確還有很多工作要做。只有想辦法快速恢復工作。很無奈的決定重裝系統，格式化整個硬碟。

在我重裝系統的過程中，有同事在討論某些文件無法訪問和使用。 後來經過我確認發現都是Phobos家族的Devos勒索病毒。我意識到了事情的嚴重性。立馬找來公司前台發了一個緊急通知。通知如下：

打開內網某台伺服器，發現桌面上的文件都被加密了。並且在桌面上有我早上自己電腦上看到過的類似DOS窗口。

下午工作工程中再次發現某台內部用的伺服器異常卡頓，桌面上也有超熟悉的DOS窗口，而這些運行文件的存放位置也異常詭異。存放位置位於用戶賬戶下的music目錄內。

由於伺服器是公司內部公用電腦，有多個同事可以訪問。於是將剛才幾個異常目錄下的文件調出來讓同事確認是否是同事存放的。經過確認所有人都說這些文件不是他們存放的。因此我將這幾個可疑程序進行了加密拷貝。方便後續的相應分析。

後續將這些異常文件拷貝到虛擬機進行運行，發現無論是否斷網。這些病毒程序都可以大概十幾秒鍾時間里感染桌面及系統盤大部分文件。

中此病毒症狀就是有電腦文件被加密。

病毒的研發者最終目的是勒索錢財（比特幣），所以在加密一定文件後會給你提醒交付贖金的聯系方式。聯系方式如下：

當發現自己電腦中毒後，為了保證區域網更多電腦不被受損，請按照以下流程依次操作

個人認為此次我經歷的傳播方式就是共享文件傳播，下圖反映的就是中毒的某台電腦對整個區域網進行掃描。掃描出哪些電腦開啟了文件共享，然後將沒有密碼共享的電腦及有密碼共享但之前進行過連接的電腦文件夾建立成「映射磁碟」。然後將病毒程序放置在這些共享文件里。然後通過這些共享文件進行進一步的病毒擴散。

殺毒軟體1：win10 自帶 Windows Defender 軟體
殺毒軟體2：360安全衛士

經過確認，2款軟體只要病毒庫是最新版都可以進行相應的攔截與提醒。

其中：Fast \ NS-v2 \ Loggy cleaner3款軟體為病毒文件，其它文件疑似屬於病毒文件擴散用的配套軟體。

勒索病毒Devos中毒過程演示.mp4

相關資料引用與學習：
1. 2021年最猖狂的勒索病毒之一 .devos後綴勒索病毒是什麼？如何應對處理？
2. 勒索病毒為什麼那麼難破解.mp4
3. 遇到勒索軟體千萬別關機！被黑客勒索怎麼破？
4. B站知名UP主 視頻素材被勒索（視頻75萬人點贊、4萬轉發）

C. 手殘把文件加密了，如何破解

最簡單的分辨方法：凡是號稱自己有「閃電加密」、「瞬間加密」、「一秒鍾加密」功能的軟體，一定是偽加密軟體!典型就是什麼高強度文件夾加密大師、文件夾加密超級大師等等，稍微懂點電腦常識的人都知道，即使是復制文件，都無法做到瞬間完成。
偽加密軟體常見的有：高強度文件夾加密大師、金鎖文件夾加密特警、E-鑽文件夾加密大師、E-神文件夾加密、文件夾加密超級大師、文件加鎖王、文件夾保護神、文件夾加密至尊、文件夾金剛鎖、超級兔子加密……太多了。

下面說破解方法：
破解一般有兩種方法：使用跟蹤軟體，此外用dos命令也能破解一些低級軟體、
最簡單的，使用資源管理器打開電腦(開始菜單里附件自帶的)，就可以看到很多類似00020c01-0000-0000-c000-000000000046的文件夾，就是所謂的加密文件夾了，此外還有不少輔助軟體，隨便列舉幾個：
1.直接用WinRAR瀏覽加密文件夾，就可以輕松地看到沒有加密前的所有內容
2.冰刃( IceSword ，可以用來破解文件夾加鎖王加密的文件夾)
3.Total Commander，這個軟體特別酷，是windows資源管理器終結者，可以用來破解E-鑽文件夾加密大師，E-神文件夾加密，高強度文件夾加密大師，文件加鎖王，超級特工秘密文件夾加密的文件和文件夾。)
4.文件夾嗅探器，幾乎所有偽加密軟體，都可以探測的出來～～

二、用dos命令的CD、dir /a /x、這樣的命令就能看到像E-鑽文件夾加密大師、高強度文件夾加密大師這種文件「加密」的內容。(誇張吧?呵呵)，不過後期接觸電腦的人大多不太會用dos，不過沒關系可以用軟體來破解，呵呵。
最後，很多人覺得使用這種偽軟體沒什麼危險，其實破解的人也許並不多，但是關鍵在於，它們採用了一些windows技巧來達到「加密」的效果，使得你日常使用時，做了什麼別的操作，結果你「加密」的文件就消失了，這樣豈不是後悔莫及?
如果你發現你身邊的朋友使用了剛才所說的那些軟體，應該好心勸告他們，要不你就只能聽他們哭訴了。目前真正採用標准演算法的加密軟體有PGP和大狼狗加密專家，前者功能強大，但是易用性差，後者還是免費的，大家都可以試試看。

D. 如何破解被勒索病毒加密的文件

電腦里的文檔建議經常的備份一下，養成一個好的習慣，這樣可以避免文檔丟失造成的損失。如果嫌麻煩的話，可以使用騰訊電腦管家裡面的「文檔守護者」，它可以監控全盤的文檔，防止病毒對其加密、刪除等異常操作

E. 加密文件破解辦法

今天廢寢忘食的在網路上尋找加密文件的破解辦法,嘗試了很多朋友的很多的辦法,大概折騰了3個小時左右,有一個辦法中的其中一道步驟,讓我靈光一現.
只要是您的文件夾中無論顯示不顯示thumbs.db文件,但是,在winrar文件下打開都是可以看到thumbs.db文件的,首先隨便打開一個winrar文件,在"添加"下面,"文件"上面有一個地址欄,點擊地址欄右邊的下拉箭頭,找到加密文件夾所在的地方,然後打開文件夾會看到thumbs.db,答案快出現了!請您雙擊thumbs.db文件,曾經加密的文件都會出現在下面,這個時候很激動!!!!嘗試雙擊打開,呵呵,開了!!哈哈哈!!!!!(如果文件開不了,不用著急,用後面的重新壓縮的辦法,壓一個新的文件後再解壓後用相應的程序打開就可以了!)這個辦法很簡單,如果需要提取出來,就選取下面的有關文件右鍵添加新的壓縮即可!注意!!要在壓縮文件名右邊的瀏覽欄中重新選擇新的壓縮位置,比如桌面!否則還是被壓倒thumbs.db文件里!!希望能對有需要的朋友有幫助!!!!比較簡單!!個人知識產權,希望大家捧場!!!!謝謝!!!

F. 病毒植入系統加殼加密怎麼解

有一個簡單的方法（對中文軟體效果較明顯）。用記事本打開一個可執行文件，如果能看到軟體的提示信息則一般是未加殼的，如果完全是亂碼，則多半是被加殼的。我們還可以使用一款叫做Fileinfo的工具來查看文件具體加的是什麼殼。目前，較常見到的殼有「UPX」、「ASPack」、「PePack」、「PECompact」、「UPack」、「NsPack」、「免疫007」、「木馬綵衣」等等。

病毒加殼的原理很簡單，現在黑客營中提供的多數病毒中，很多都是經過處理的，而這些處理就是所謂的加殼。我們知道當一個普通的EXE程序生成好後，很輕松的就可以利用諸如資源工具和反匯編工具對它進行修改，但如果程序員給EXE程序加一個殼的話，那麼至少這個加了殼的EXE程序就不是那麼好修改了，如果想修改就必須先脫殼。病毒加殼後也是同樣的道理，我們也必須先為病毒脫殼。

三 脫殼方法：

目前有很多加殼工具，既然有矛，自然就有盾，只要我們收集全常用脫殼工具，那就不怕病毒加殼了。脫殼主要是通過工具來脫殼。

常用脫殼工具有：

1.文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan,

2.OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid

3.mp工具：IceDump，TRW，PEditor，ProcDump32，LordPE

4.PE文件編輯工具PEditor，ProcDump32，LordPE

5.重建Import Table工具：ImportREC，ReVirgin

6.ASProtect脫殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid

（1）Aspack： 用的最多，但只要用UNASPACK或PEDUMP32脫殼就行了

（2）ASProtect+aspack：次之，國外的軟體多用它加殼，脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識，但最新版現在暫時沒有辦法。

（3）Upx： 可以用UPX本身來脫殼，但要注意版本是否一致，用-D 參數

（4）Armadill： 可以用SOFTICE+ICEDUMP脫殼，比較煩

（5）Dbpe： 國內比較好的加密軟體，新版本暫時不能脫，但可以破解

（6）NeoLite： 可以用自己來脫殼

（7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE來脫殼

（8）Pecompat： 用SOFTICE配合PEDUMP32來脫殼，但不要專業知識

（9）Petite： 有一部分的老版本可以用PEDUMP32直接脫殼，新版本脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識。

（10）WWpack32： 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合 PEDUMP32脫殼

G. 中勒索病毒後如何清除-電腦中勒索病毒後加密文件恢復方法

中勒索病毒後如何清除-電腦中勒索病毒後加密文件恢復方法

電腦中了比特幣勒索病毒文件怎麼恢復?比特幣勒索病毒文件怎麼恢復?比特幣勒索病毒正在傳播中，不少小夥伴的電腦都受到了勒索病毒的侵襲，那麼被侵襲之後，要如何恢復我們的文件呢? 比特幣勒索病毒文件怎麼恢復?下面是為你整理的關於中了比特幣勒索病毒文件怎麼恢復方法教程，希望對你有幫助!

比特幣勒索病毒文件怎麼恢復?比特幣勒索病毒正在傳播中，不少小夥伴都受到了勒索病毒的侵襲，那麼被侵襲之後，要如何恢復我們的文件呢?

比特幣勒索病毒文件怎麼恢復

一般來說，比特幣勒索病毒由於加密非常復雜，使用超級電腦破解比特幣勒索病毒的話也需要十幾年，總之目前來看破解比特幣勒索病毒難度很大。

但是比特幣勒索病毒主要是給網友的文件加密，網友自己無法解卡，需要給勒索者支付比特幣才能解鎖。

部分病毒變種，在加密用戶文檔後會徹底刪除原文件。

注意，這種情況下原文件並沒有被加密，只是被刪除。

存在一定機會恢復部分被刪除的原文件。

所以電腦中毒後，千萬不要再向電腦里拷貝文件，應該馬上使用數據恢復軟體，嘗試掃描電腦硬碟。如果找到了被刪除的文件，馬上恢復，這樣就可以最大限度降低損失。

對於電腦內保存重要文件的網友來說，比特幣勒索病毒怎麼才能恢復文件呢?

比特幣勒索病毒文件怎麼恢復 勒索病毒文件恢復方法

3款文件恢復軟體：

1、老牌數據恢復軟體 finaldata

2、強力恢復軟體 Recuva

使用方法大同小異，都是用軟體打開電腦里的 C盤或D盤E盤，然後開始掃描。速度通常不太快，硬碟大的話，可能要掃幾十分鍾。

掃完後，會看到大量被徹底刪除的文件，如果顯示狀態「非常好」，那麼就可以右鍵點擊文件恢復到其他硬碟里去。

這些恢復軟體，一定要裝在 U盤里，放到硬碟的話，有可能擠占源文件的位置。

這個辦法並沒有解密被綁架的文件，而是去恢復被刪除的文件。

3、360勒索蠕蟲病毒文件恢復工具

近期360發布了一款360勒索蠕蟲病毒文件，聲稱可以恢復部分被勒索軟體加密的文件。

並不能百分之百恢復文件，但是有可能恢復一定比例文件，成功概率會受到文件數量等多重因素影響。文件恢復成功率會受到文件數量、時間、磁碟操作情況等因素影響。一般來說，中毒後越早恢復，成功的幾率越高。此次發布的工具是只針對 Wannacrypt 勒索軟體的，對於其他勒索病毒可能沒有用，同時也無法保證100%恢復所有文件。

反病毒專家：比特幣病毒造成的破壞不可逆，即使交了贖金也未必能解除

電腦文件被加密 交錢未必清除勒索病毒文件恢復方法

成都市的李先生最近遇到一件奇怪的事，自家的電腦彷彿被黑客控制了一般，所有文件都打不開，電腦屏幕上還出現一段像對話一樣的神秘英文。原來，李先生的電腦被一種比特幣病毒綁架了，「綁匪」提出，用3個比特幣作為「贖金」購買解密的軟體。反病毒專家提醒，這種勒索病毒造成的損害不可逆，需小心防範。

一段英文朗誦後電腦文件全都被加了密

「10月4日下午，我家孩子用電腦做英語作業，做完後電腦沒關，過了差不多一個小時，電腦突然發出一段聲音，是英文的，就像朗誦一樣。」李先生回憶說，「因為孩子做的是英語作業，當時自己也沒想太多，結果之後就看到電腦桌面被修改了。」

時間已經過去了6天，李先生的電腦桌面仍然保持當天下午的樣子，桌面背景變成了白色，屏幕中間有幾行綠色英文。而桌面上包括Word文檔、JPG圖片和視頻在內的每個文件，都被更改了格式。「這些文件都打不開了，點擊打開後就會出現沒有相應軟體的提示。」

李先生這才意識到，電腦可能中病毒了，他趕緊試著翻譯了桌面上的英文。「英文大意是，文件和數據已經被加密了，安全解密文件的唯一方式就是支付3個比特幣，購買一種解密文件。如果用第三方軟體解密文件，那樣將遭受不可挽回的損失。」李先生說。

文字後面，還附帶了幾個網址，只要點擊這些網址，就可以購買英文所說的解密的軟體。「我沒有點這些鏈接，擔心點了過後會有更大的麻煩。」李先生告訴記者，第一次遇到這種奇怪的事，自己也想不出到底是怎麼回事。

一個比特幣4100元破解不可能支付又心疼

帶著疑問，李先生向電子科技大學相關專家進行請教。專家看了李先生的電腦後斷定，植入李先生電腦的，極有可能是比特幣病毒。「這種病毒也叫比特幣木馬，會加密受感染電腦中114種格式的文件，使其無法正常打開，還會彈窗『敲詐』機主。」

據了解，比特幣病毒早在2014年就在國外出現，2015年初開始在國內出現。而之所以被稱作比特幣病毒，是因為該病毒會要求受害者支付3比特幣作為贖金，用於購買解密的軟體。而比特幣這種虛擬貨幣只能在數字世界使用，因此使得交易難以追蹤。

不僅如此，這種病毒的加密方式相當復雜，「暴力破解需要數十萬年，超級計算機破解也需要十幾年甚至幾十年」。「我也咨詢過幾個IT高手，他們都說這種病毒很難解密，還建議我跟黑客談判，用合適的價錢買解密的軟體。」李先生有些無奈地說。

記者查詢發現，目前每個比特幣價格在4100元左右，也就是說，李先生需要花1.2萬元才能購買解密的軟體。「我存放在電腦里10多年的文件，以及近幾年的生活工作照片，全部都被非法破壞了。」李先生想到這里，就覺得心疼。

目前，李先生已經向所在地的派出所報案，並等待警方的偵查處理。

勒索病毒善偽裝造成的破壞不可逆

金山公司反病毒專家李鐵軍告訴記者，諸如比特幣木馬等勒索類病毒近來比較常見。「這種病毒利用系統內部的加密處理，而且是一種不可逆的加密，必須拿到解密的`秘鑰才有可能破解。也就是說，除了病毒開發者本人，其他人是不可能解密的。」

據介紹，勒索類病毒通常通過電子郵件傳播，偽裝成電腦系統內部的工作文檔，誘導電腦用戶打開文檔。「如果用戶沒有注意到安全警告的話，病毒程序就可能運行。」李鐵軍說，

「早期的勒索病毒版本，解密秘鑰可能存在於系統的注冊表中，但現在流行的病毒版本，我們分析過，是無法解除的。」李鐵軍說，更為嚴重的是，比特幣病毒的原理和方法早已經公開在互聯網上，「很多黑客進行改造，開發出更多病毒變種」。

至於李先生所說的花錢購買解密的軟體，李鐵軍表示，病毒開發者的說法不可信。「病毒加密是一種不可逆的加密，造成的損害也是不可逆的。」李鐵軍說，「而且根本不知道對方是什麼人，即使交了贖金，也未必能解除。」

因此，李鐵軍提醒，重要文件應及時備份，另外，處理電子郵件時需要特別小心，「對於可疑的程序，不要在自己的電腦上打開。」「還有就是在本地電腦上安裝安全軟體，現在一些安全軟體可以攔截新出現的勒索病毒，即便沒有查到病毒特徵，但病毒在加密文件過程中，可以對加密的動作進行攔截。」

反勒索服務，360安全衛士負責到底

敲詐者病毒這么猖狂，難道沒有辦法對付了嗎?當然不!360安全衛士11.0版本推出了「反勒索服務」，在開通該服務的情況下如果仍然感染敲詐者病毒，360將替用戶繳納最高3個比特幣的贖金(約人民幣13000元)並協助還原被加密文件，保障用戶財產和數據的雙重安全。

據了解，360安全衛士基於雲安全主動防禦技術，能夠通過行為判斷第一時間感知病毒，全面攔截各類敲詐者病毒及其變種。所以說，360「敲詐先賠」的舉措並不是有錢任性，而是對自身防護技術有充分的信心。

如果中毒造成了損失，360負責賠，這樣的服務是不是覺得很熟悉?沒錯，這與360此前推出的「網購先賠」如出一轍。「網購先賠」為遭遇網購欺詐和木馬盜取資金的用戶提供安全保障。即使出現賠付情況，360花一筆錢就能發現最新的病毒變異趨勢，也是非常值得的，這相當於花錢提升了產品競爭力，也是非常劃算的。

H. 加密軟體加密之後如何破解

Lockdir.exe文件夾加密軟體是深圳恆波軟體公司出品的一款文件夾、移動文件夾快速加密軟體，使用操作方便. 下面我們一步一步的來： 加密過的文件夾，我們發現圖標也變成了加密程序的圖標了。 雙擊打開看，發現裡面也有一個lockdir.exe程序，打開時提示輸入密碼，如果密碼正確，則進入加密的文件夾，否則將不能打開加密的文件夾。 其實，在這加密的文件夾里，不只有一個文件（lockdir.exe），里還有兩個文件是隱藏的（Thumbs.ms、desktop.ini），這兩個文件：desktop.ini是用來給加密的文件夾修改圖標，而加過密的文件全部放在Thumbs.ms文件夾裡面，下面我們來一步一步的進行程序破解： 一，打開我的電腦--->工具--->文件夾選項--->查看--->去掉「隱藏受保護的操作系統文件」前面的勾--->勾選「顯示所有文件和文件夾「--->去掉「隱藏已知文件類型的擴展名，這步做完，可看到加密過的文件夾裡面有三個文件。 二，開始-->運行-->CMD 然後進入加密的文件夾，如果你加密的文件夾路徑名為「c:\hack「，那麼就在CMD下面打開hack文件夾（cd c:\hack） 三，然後接著鍵入：attrib -s -r -h Thumbs.ms 這一步主要是去掉 Thumbs.ms 的其他屬性.這時為了方便，我們可以將Thumbs.ms重命 查看原帖>>

I. 勒索病毒加密文件怎麼解開

1、如果不小心中了勒索病毒，那麼你的文件會被加密，後綴名會變成.crypt，而且無法打開。

2、病毒會在文件夾下生成警告圖片，打開病毒生成的圖片，會看到一堆英文。

3、還有的警告圖片是這個樣子。

4、用網路翻譯翻譯這些內容，會看到病毒作者想要比特幣。

5、以目前行情來說，1比特幣兌換人民幣3870元，我想大多數人也不想給作者匯款。

6、如果你試圖破解這些加密文件，只能時徒勞，因為它用了高強度的非對稱加密演算法。

7、先別慌，卡巴斯基實驗室已經推出了解密程序，能解密大部分文件，上面提供下載。

8、下載好解密工具，運行，點擊start scan開始掃描，解密程序會全硬碟搜索，會花些時間，請耐心等待。