根據(jù)****病毒后綴初步分析該病毒屬于PHOBOS家族

也稱為DHARMA****軟件，它通過加密文件并要求支付贖金以恢復對文件的訪問來修改您的文件。

DHARMA****軟件通過名為.devos的新加密病毒再次活躍。該特定的病毒家族通過添加.devos擴展名來修改所有流行的文件類型，從而使數(shù)據(jù)****不可用。受害人根本無法打開他們的重要文件。****軟件還分配其****的識別密鑰，就像病毒家族的所有先前代表一樣。一旦該文件被****軟件加密，它將獲得一個特殊的新擴展名，成為次要擴展名。該文件病毒還會生成贖金記錄，向用戶提供據(jù)稱想要恢復數(shù)據(jù)的指令。

Devos勒索軟件對計算機上的文件進行加密后，它將顯示“ info.hta”彈出窗口和“ info.txt”文本文件，其中包含****信息以及如何聯(lián)系此****軟件作者的說明。

不幸的是，當前無法解密由Devos****軟件加密的文件。

Phobos****病毒屬于全球規(guī)模較大的****家族，暫時沒有公開的解密工具，請大家提高****意識，注意防范！介于此給出如下修復方案

.devos后綴修復方案：

關于.devos后綴****病毒，我公司深入分析后發(fā)現(xiàn)，目前只能處理數(shù)據(jù)庫類文件。通過對加密文件system.dbf文件分析，發(fā)現(xiàn)數(shù)據(jù)庫前部分頁面, 中間，尾部 被惡意篡改加密。目前我們針對被加密的數(shù)據(jù)庫已經(jīng)掌握成熟的處理方案�？山鉀Q沒有被完整加密的數(shù)據(jù)庫文件。

通過對本次案例（devos病毒）分析，根據(jù)oracle數(shù)據(jù)庫底層頁面加密情況以及客戶無法提供歷史好的備份文件，我方可以恢復數(shù)據(jù)庫表內數(shù)據(jù)，但需要軟件開發(fā)商配合整合數(shù)據(jù)，數(shù)據(jù)會有缺失，修復后數(shù)據(jù)完整度預估95%以上，

根據(jù)客戶要求需修復4套oracle數(shù)據(jù)庫分別為：2個19c oracle數(shù)據(jù)庫，2個11goracle數(shù)據(jù)庫。修復時間4天左右。驗證數(shù)據(jù)無誤。

關于此次****病毒以及近幾年****病毒比較猖狂跟比特幣的價格攀升有直接關系，目前一個比特幣價格32W之多。對于高昂的贖金，建議還是定期多做數(shù)據(jù)備份，不同存儲介質進行備份。

防護建議：
預防遠比救援重要，所以為了避免出現(xiàn)此類事件，強烈建議大家日常做好以下防護措施：

1．多臺機器，不要使用相同的賬號和口令，以免出現(xiàn)“一臺淪陷，全網(wǎng)癱瘓”的慘狀；

2．登錄口令要有足夠的長度和復雜性，并定期更換登錄口令；

3．嚴格控制共享文件夾權限，在需要共享數(shù)據(jù)的部分，盡可能的多采取云協(xié)作的方式。

4．及時修補系統(tǒng)漏洞，同時不要忽略各種常用服務的****補丁。

5．關閉非必要的服務和端口如135、139、445、3389等高危端口。

6．備份備份備份�。�！重要資料一定要定期隔離備份。進行RAID備份、多機異地備份、混合云備份，對于涉及到機密或重要的文件建議選擇多種方式來備份；

7．提高****意識，不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發(fā)送的文件，在點擊或運行前進行****掃描，盡量從****可信的渠道下載和安裝軟件；

8．安裝專業(yè)的****防護軟件并確保****監(jiān)控正常開啟并運行，及時對****軟件進行更新