devos病毒加密文件破解

A. 文件加密的破解方法

文件加密特别是加密软件，一般针对的是进程和后缀来进行加密，文件被加密之后，除非知道他的加密密钥不然直接强行破解是不可行的，但是此类只针对办公人员这些，对于专业的研发人员来说，可以说是形同虚设，可针对进行绕过此类软件。方法如下：
(1)通过编写程序把代码或者内容写到log文件中，因为log文件是不好做加密的，可以直接中转走。
(2)可以通过编写代码，将内容直接打印到控制台上然后直接转存走。
(3)如果懂socket通信程序的话，可以通过socket通信程序，把数据可以明文传走。不仅socket，还有消息、LPC、COM、MUTEX、管道等进程通信方式可以尝试。
(4)可通过发布网站，比如iis，tomcat，apache等把数据直接发布到网页中，这个也是没法做加密的。
(5)外设调试中转，比如设备的调试啊，烧录啊这些的都可以当中转设备，把数据给搞出去。
当然了，如果你们用的软件可以直接网上搜到，那么他的破解方法也是多如牛毛的，网上大神千千万，此类软件不够看。

B. 记一次中Phobos家族Devos勒索病毒

2021年5月28日，星期五早晨，像往常一样，照例打开电脑准备工作。突然发现桌面有几个莫名其妙的DOS运行窗口，虽有疑惑但并未仔细确认。将几个窗口直接关闭。关闭窗口几秒钟后,突然发现桌面上的图标或文件突然都变成了灰色。再仔细一查看。变成了灰色的文件后缀都莫名其妙加了一串值，在最后的后缀为Devos。突然惊醒，这东西似曾相识。预感到了事情不妙。

对于眼前的一切，我立即意识到了这是勒索病毒。然后我马上查看了一下除了桌面以外的其它盘符的文件。 一确认，我心都凉了半截。整个电脑大部分文件都变成了灰色状态（被加密后添加了文件后缀）。

我深知这种病毒的厉害。很害怕病毒在公司局域网持续传播，我立即拔掉了自己电脑的网线。拔掉网线后我想结束掉病毒程序，防止自己电脑文件都被加密。打开任务管理器想结束掉病毒程序，但不知道病毒的进程到底是哪一条，无法结束。后来眼睁睁的看着文件被逐步加密（中毒）。

由于电脑文件都被逐步加密（中毒），自己手头上确还有很多工作要做。只有想办法快速恢复工作。很无奈的决定重装系统，格式化整个硬盘。

在我重装系统的过程中，有同事在讨论某些文件无法访问和使用。 后来经过我确认发现都是Phobos家族的Devos勒索病毒。我意识到了事情的严重性。立马找来公司前台发了一个紧急通知。通知如下：

打开内网某台服务器，发现桌面上的文件都被加密了。并且在桌面上有我早上自己电脑上看到过的类似DOS窗口。

下午工作工程中再次发现某台内部用的服务器异常卡顿，桌面上也有超熟悉的DOS窗口，而这些运行文件的存放位置也异常诡异。存放位置位于用户账户下的music目录内。

由于服务器是公司内部公用电脑，有多个同事可以访问。于是将刚才几个异常目录下的文件调出来让同事确认是否是同事存放的。经过确认所有人都说这些文件不是他们存放的。因此我将这几个可疑程序进行了加密拷贝。方便后续的相应分析。

后续将这些异常文件拷贝到虚拟机进行运行，发现无论是否断网。这些病毒程序都可以大概十几秒钟时间里感染桌面及系统盘大部分文件。

中此病毒症状就是有电脑文件被加密。

病毒的研发者最终目的是勒索钱财（比特币），所以在加密一定文件后会给你提醒交付赎金的联系方式。联系方式如下：

当发现自己电脑中毒后，为了保证局域网更多电脑不被受损，请按照以下流程依次操作

个人认为此次我经历的传播方式就是共享文件传播，下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享，然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。

杀毒软件1：win10 自带 Windows Defender 软件
杀毒软件2：360安全卫士

经过确认，2款软件只要病毒库是最新版都可以进行相应的拦截与提醒。

其中：Fast \ NS-v2 \ Loggy cleaner3款软件为病毒文件，其它文件疑似属于病毒文件扩散用的配套软件。

勒索病毒Devos中毒过程演示.mp4

相关资料引用与学习：
1. 2021年最猖狂的勒索病毒之一 .devos后缀勒索病毒是什么？如何应对处理？
2. 勒索病毒为什么那么难破解.mp4
3. 遇到勒索软件千万别关机！被黑客勒索怎么破？
4. B站知名UP主 视频素材被勒索（视频75万人点赞、4万转发）

C. 手残把文件加密了，如何破解

最简单的分辨方法：凡是号称自己有“闪电加密”、“瞬间加密”、“一秒钟加密”功能的软件，一定是伪加密软件!典型就是什么高强度文件夹加密大师、文件夹加密超级大师等等，稍微懂点电脑常识的人都知道，即使是复制文件，都无法做到瞬间完成。
伪加密软件常见的有：高强度文件夹加密大师、金锁文件夹加密特警、E-钻文件夹加密大师、E-神文件夹加密、文件夹加密超级大师、文件加锁王、文件夹保护神、文件夹加密至尊、文件夹金刚锁、超级兔子加密……太多了。

下面说破解方法：
破解一般有两种方法：使用跟踪软件，此外用dos命令也能破解一些低级软件、
最简单的，使用资源管理器打开电脑(开始菜单里附件自带的)，就可以看到很多类似00020c01-0000-0000-c000-000000000046的文件夹，就是所谓的加密文件夹了，此外还有不少辅助软件，随便列举几个：
1.直接用WinRAR浏览加密文件夹，就可以轻松地看到没有加密前的所有内容
2.冰刃( IceSword ，可以用来破解文件夹加锁王加密的文件夹)
3.Total Commander，这个软件特别酷，是windows资源管理器终结者，可以用来破解E-钻文件夹加密大师，E-神文件夹加密，高强度文件夹加密大师，文件加锁王，超级特工秘密文件夹加密的文件和文件夹。)
4.文件夹嗅探器，几乎所有伪加密软件，都可以探测的出来～～

二、用dos命令的CD、dir /a /x、这样的命令就能看到像E-钻文件夹加密大师、高强度文件夹加密大师这种文件“加密”的内容。(夸张吧?呵呵)，不过后期接触电脑的人大多不太会用dos，不过没关系可以用软件来破解，呵呵。
最后，很多人觉得使用这种伪软件没什么危险，其实破解的人也许并不多，但是关键在于，它们采用了一些windows技巧来达到“加密”的效果，使得你日常使用时，做了什么别的操作，结果你“加密”的文件就消失了，这样岂不是后悔莫及?
如果你发现你身边的朋友使用了刚才所说的那些软件，应该好心劝告他们，要不你就只能听他们哭诉了。目前真正采用标准算法的加密软件有PGP和大狼狗加密专家，前者功能强大，但是易用性差，后者还是免费的，大家都可以试试看。

D. 如何破解被勒索病毒加密的文件

电脑里的文档建议经常的备份一下，养成一个好的习惯，这样可以避免文档丢失造成的损失。如果嫌麻烦的话，可以使用腾讯电脑管家里面的“文档守护者”，它可以监控全盘的文档，防止病毒对其加密、删除等异常操作

E. 加密文件破解办法

今天废寝忘食的在网络上寻找加密文件的破解办法,尝试了很多朋友的很多的办法,大概折腾了3个小时左右,有一个办法中的其中一道步骤,让我灵光一现.
只要是您的文件夹中无论显示不显示thumbs.db文件,但是,在winrar文件下打开都是可以看到thumbs.db文件的,首先随便打开一个winrar文件,在"添加"下面,"文件"上面有一个地址栏,点击地址栏右边的下拉箭头,找到加密文件夹所在的地方,然后打开文件夹会看到thumbs.db,答案快出现了!请您双击thumbs.db文件,曾经加密的文件都会出现在下面,这个时候很激动!!!!尝试双击打开,呵呵,开了!!哈哈哈!!!!!(如果文件开不了,不用着急,用后面的重新压缩的办法,压一个新的文件后再解压后用相应的程序打开就可以了!)这个办法很简单,如果需要提取出来,就选取下面的有关文件右键添加新的压缩即可!注意!!要在压缩文件名右边的浏览栏中重新选择新的压缩位置,比如桌面!否则还是被压倒thumbs.db文件里!!希望能对有需要的朋友有帮助!!!!比较简单!!个人知识产权,希望大家捧场!!!!谢谢!!!

F. 病毒植入系统加壳加密怎么解

有一个简单的方法（对中文软件效果较明显）。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。

病毒加壳的原理很简单，现在黑客营中提供的多数病毒中，很多都是经过处理的，而这些处理就是所谓的加壳。我们知道当一个普通的EXE程序生成好后，很轻松的就可以利用诸如资源工具和反汇编工具对它进行修改，但如果程序员给EXE程序加一个壳的话，那么至少这个加了壳的EXE程序就不是那么好修改了，如果想修改就必须先脱壳。病毒加壳后也是同样的道理，我们也必须先为病毒脱壳。

三 脱壳方法：

目前有很多加壳工具，既然有矛，自然就有盾，只要我们收集全常用脱壳工具，那就不怕病毒加壳了。脱壳主要是通过工具来脱壳。

常用脱壳工具有：

1.文件分析工具（侦测壳的类型）：Fi，GetTyp，peid，pe-scan,

2.OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid

3.mp工具：IceDump，TRW，PEditor，ProcDump32，LordPE

4.PE文件编辑工具PEditor，ProcDump32，LordPE

5.重建Import Table工具：ImportREC，ReVirgin

6.ASProtect脱壳专用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只对ASPr V1.1有效），loader，peid

（1）Aspack： 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了

（2）ASProtect+aspack：次之，国外的软件多用它加壳，脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。

（3）Upx： 可以用UPX本身来脱壳，但要注意版本是否一致，用-D 参数

（4）Armadill： 可以用SOFTICE+ICEDUMP脱壳，比较烦

（5）Dbpe： 国内比较好的加密软件，新版本暂时不能脱，但可以破解

（6）NeoLite： 可以用自己来脱壳

（7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE来脱壳

（8）Pecompat： 用SOFTICE配合PEDUMP32来脱壳，但不要专业知识

（9）Petite： 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识。

（10）WWpack32： 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合 PEDUMP32脱壳

G. 中勒索病毒后如何清除-电脑中勒索病毒后加密文件恢复方法

中勒索病毒后如何清除-电脑中勒索病毒后加密文件恢复方法

电脑中了比特币勒索病毒文件怎么恢复?比特币勒索病毒文件怎么恢复?比特币勒索病毒正在传播中，不少小伙伴的电脑都受到了勒索病毒的侵袭，那么被侵袭之后，要如何恢复我们的文件呢? 比特币勒索病毒文件怎么恢复?下面是为你整理的关于中了比特币勒索病毒文件怎么恢复方法教程，希望对你有帮助!

比特币勒索病毒文件怎么恢复?比特币勒索病毒正在传播中，不少小伙伴都受到了勒索病毒的侵袭，那么被侵袭之后，要如何恢复我们的文件呢?

比特币勒索病毒文件怎么恢复

一般来说，比特币勒索病毒由于加密非常复杂，使用超级电脑破解比特币勒索病毒的话也需要十几年，总之目前来看破解比特币勒索病毒难度很大。

但是比特币勒索病毒主要是给网友的文件加密，网友自己无法解卡，需要给勒索者支付比特币才能解锁。

部分病毒变种，在加密用户文档后会彻底删除原文件。

注意，这种情况下原文件并没有被加密，只是被删除。

存在一定机会恢复部分被删除的原文件。

所以电脑中毒后，千万不要再向电脑里拷贝文件，应该马上使用数据恢复软件，尝试扫描电脑硬盘。如果找到了被删除的文件，马上恢复，这样就可以最大限度降低损失。

对于电脑内保存重要文件的网友来说，比特币勒索病毒怎么才能恢复文件呢?

比特币勒索病毒文件怎么恢复 勒索病毒文件恢复方法

3款文件恢复软件：

1、老牌数据恢复软件 finaldata

2、强力恢复软件 Recuva

使用方法大同小异，都是用软件打开电脑里的 C盘或D盘E盘，然后开始扫描。速度通常不太快，硬盘大的话，可能要扫几十分钟。

扫完后，会看到大量被彻底删除的文件，如果显示状态“非常好”，那么就可以右键点击文件恢复到其他硬盘里去。

这些恢复软件，一定要装在 U盘里，放到硬盘的话，有可能挤占源文件的位置。

这个办法并没有解密被绑架的文件，而是去恢复被删除的文件。

3、360勒索蠕虫病毒文件恢复工具

近期360发布了一款360勒索蠕虫病毒文件，声称可以恢复部分被勒索软件加密的文件。

并不能百分之百恢复文件，但是有可能恢复一定比例文件，成功概率会受到文件数量等多重因素影响。文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说，中毒后越早恢复，成功的几率越高。此次发布的工具是只针对 Wannacrypt 勒索软件的，对于其他勒索病毒可能没有用，同时也无法保证100%恢复所有文件。

反病毒专家：比特币病毒造成的破坏不可逆，即使交了赎金也未必能解除

电脑文件被加密 交钱未必清除勒索病毒文件恢复方法

成都市的李先生最近遇到一件奇怪的事，自家的电脑仿佛被黑客控制了一般，所有文件都打不开，电脑屏幕上还出现一段像对话一样的神秘英文。原来，李先生的电脑被一种比特币病毒绑架了，“绑匪”提出，用3个比特币作为“赎金”购买解密的软件。反病毒专家提醒，这种勒索病毒造成的损害不可逆，需小心防范。

一段英文朗诵后电脑文件全都被加了密

“10月4日下午，我家孩子用电脑做英语作业，做完后电脑没关，过了差不多一个小时，电脑突然发出一段声音，是英文的，就像朗诵一样。”李先生回忆说，“因为孩子做的是英语作业，当时自己也没想太多，结果之后就看到电脑桌面被修改了。”

时间已经过去了6天，李先生的电脑桌面仍然保持当天下午的样子，桌面背景变成了白色，屏幕中间有几行绿色英文。而桌面上包括Word文档、JPG图片和视频在内的每个文件，都被更改了格式。“这些文件都打不开了，点击打开后就会出现没有相应软件的提示。”

李先生这才意识到，电脑可能中病毒了，他赶紧试着翻译了桌面上的英文。“英文大意是，文件和数据已经被加密了，安全解密文件的唯一方式就是支付3个比特币，购买一种解密文件。如果用第三方软件解密文件，那样将遭受不可挽回的损失。”李先生说。

文字后面，还附带了几个网址，只要点击这些网址，就可以购买英文所说的解密的软件。“我没有点这些链接，担心点了过后会有更大的麻烦。”李先生告诉记者，第一次遇到这种奇怪的事，自己也想不出到底是怎么回事。

一个比特币4100元破解不可能支付又心疼

带着疑问，李先生向电子科技大学相关专家进行请教。专家看了李先生的电脑后断定，植入李先生电脑的，极有可能是比特币病毒。“这种病毒也叫比特币木马，会加密受感染电脑中114种格式的文件，使其无法正常打开，还会弹窗‘敲诈’机主。”

据了解，比特币病毒早在2014年就在国外出现，2015年初开始在国内出现。而之所以被称作比特币病毒，是因为该病毒会要求受害者支付3比特币作为赎金，用于购买解密的软件。而比特币这种虚拟货币只能在数字世界使用，因此使得交易难以追踪。

不仅如此，这种病毒的加密方式相当复杂，“暴力破解需要数十万年，超级计算机破解也需要十几年甚至几十年”。“我也咨询过几个IT高手，他们都说这种病毒很难解密，还建议我跟黑客谈判，用合适的价钱买解密的软件。”李先生有些无奈地说。

记者查询发现，目前每个比特币价格在4100元左右，也就是说，李先生需要花1.2万元才能购买解密的软件。“我存放在电脑里10多年的文件，以及近几年的生活工作照片，全部都被非法破坏了。”李先生想到这里，就觉得心疼。

目前，李先生已经向所在地的派出所报案，并等待警方的侦查处理。

勒索病毒善伪装造成的破坏不可逆

金山公司反病毒专家李铁军告诉记者，诸如比特币木马等勒索类病毒近来比较常见。“这种病毒利用系统内部的加密处理，而且是一种不可逆的加密，必须拿到解密的`秘钥才有可能破解。也就是说，除了病毒开发者本人，其他人是不可能解密的。”

据介绍，勒索类病毒通常通过电子邮件传播，伪装成电脑系统内部的工作文档，诱导电脑用户打开文档。“如果用户没有注意到安全警告的话，病毒程序就可能运行。”李铁军说，

“早期的勒索病毒版本，解密秘钥可能存在于系统的注册表中，但现在流行的病毒版本，我们分析过，是无法解除的。”李铁军说，更为严重的是，比特币病毒的原理和方法早已经公开在互联网上，“很多黑客进行改造，开发出更多病毒变种”。

至于李先生所说的花钱购买解密的软件，李铁军表示，病毒开发者的说法不可信。“病毒加密是一种不可逆的加密，造成的损害也是不可逆的。”李铁军说，“而且根本不知道对方是什么人，即使交了赎金，也未必能解除。”

因此，李铁军提醒，重要文件应及时备份，另外，处理电子邮件时需要特别小心，“对于可疑的程序，不要在自己的电脑上打开。”“还有就是在本地电脑上安装安全软件，现在一些安全软件可以拦截新出现的勒索病毒，即便没有查到病毒特征，但病毒在加密文件过程中，可以对加密的动作进行拦截。”

反勒索服务，360安全卫士负责到底

敲诈者病毒这么猖狂，难道没有办法对付了吗?当然不!360安全卫士11.0版本推出了“反勒索服务”，在开通该服务的情况下如果仍然感染敲诈者病毒，360将替用户缴纳最高3个比特币的赎金(约人民币13000元)并协助还原被加密文件，保障用户财产和数据的双重安全。

据了解，360安全卫士基于云安全主动防御技术，能够通过行为判断第一时间感知病毒，全面拦截各类敲诈者病毒及其变种。所以说，360“敲诈先赔”的举措并不是有钱任性，而是对自身防护技术有充分的信心。

如果中毒造成了损失，360负责赔，这样的服务是不是觉得很熟悉?没错，这与360此前推出的“网购先赔”如出一辙。“网购先赔”为遭遇网购欺诈和木马盗取资金的用户提供安全保障。即使出现赔付情况，360花一笔钱就能发现最新的病毒变异趋势，也是非常值得的，这相当于花钱提升了产品竞争力，也是非常划算的。

H. 加密软件加密之后如何破解

Lockdir.exe文件夹加密软件是深圳恒波软件公司出品的一款文件夹、移动文件夹快速加密软件，使用操作方便. 下面我们一步一步的来： 加密过的文件夹，我们发现图标也变成了加密程序的图标了。 双击打开看，发现里面也有一个lockdir.exe程序，打开时提示输入密码，如果密码正确，则进入加密的文件夹，否则将不能打开加密的文件夹。 其实，在这加密的文件夹里，不只有一个文件（lockdir.exe），里还有两个文件是隐藏的（Thumbs.ms、desktop.ini），这两个文件：desktop.ini是用来给加密的文件夹修改图标，而加过密的文件全部放在Thumbs.ms文件夹里面，下面我们来一步一步的进行程序破解： 一，打开我的电脑--->工具--->文件夹选项--->查看--->去掉“隐藏受保护的操作系统文件”前面的勾--->勾选“显示所有文件和文件夹“--->去掉“隐藏已知文件类型的扩展名，这步做完，可看到加密过的文件夹里面有三个文件。 二，开始-->运行-->CMD 然后进入加密的文件夹，如果你加密的文件夹路径名为“c:\hack“，那么就在CMD下面打开hack文件夹（cd c:\hack） 三，然后接着键入：attrib -s -r -h Thumbs.ms 这一步主要是去掉 Thumbs.ms 的其他属性.这时为了方便，我们可以将Thumbs.ms重命 查看原帖>>

I. 勒索病毒加密文件怎么解开

1、如果不小心中了勒索病毒，那么你的文件会被加密，后缀名会变成.crypt，而且无法打开。

2、病毒会在文件夹下生成警告图片，打开病毒生成的图片，会看到一堆英文。

3、还有的警告图片是这个样子。

4、用网络翻译翻译这些内容，会看到病毒作者想要比特币。

5、以目前行情来说，1比特币兑换人民币3870元，我想大多数人也不想给作者汇款。

6、如果你试图破解这些加密文件，只能时徒劳，因为它用了高强度的非对称加密算法。

7、先别慌，卡巴斯基实验室已经推出了解密程序，能解密大部分文件，上面提供下载。

8、下载好解密工具，运行，点击start scan开始扫描，解密程序会全硬盘搜索，会花些时间，请耐心等待。