前言：簡介

.devicZz后綴勒索病毒是國外著名勒索病毒家族Mallox(TargetCompany)的新型傳播病毒，最近我們已經得到了一些公司的咨詢和幫助，各公司必須加強預防。

近日，國內某企業(yè)披露遭遇.devicZz勒索病毒攻擊，據知情人士稱，攻擊者對多臺設備進行了加密。為了防止攻擊進一步蔓延，該公司關閉了部分服務器系統(tǒng)，使得部分員工無法進行工作。據了解，設備中的文件被添加了“.devicZz”后綴，并且無法正常打開。通過后綴可確定該病毒為Mallox家族勒索病毒。該病毒主要通過RDP遠程桌面弱口令進行攻擊，由于很多用戶設置的密碼過于簡單，很容易被攻擊者暴力破解，并將勒索病毒植入機器中執(zhí)行加密文件。

一、什么是.devicZz后綴勒索病毒？

根據專家進行的研究，devicZz勒索病毒是一種高度危險的加密病毒，.devicZz 勒索病毒旨在加密數據文件，用于附加用戶主要使用的幾乎所有可能的文件類型。在加密過程中，在文件名后附加新的文件擴展名（“ .devicZz ”），例如，它將名為“ 1.jpg ”的文件重命名為“ 1.j ”，將“ 2.jpg ”重命名為“ 2.jpg..devicZz”。

.devicZz勒索病毒與大多數勒索病毒一樣，.devicZz勒索病毒通過加密阻止對文件的訪問，更改文件名并向受害者提供有關如何恢復其文件的說明。

Mallox勒索病毒家族通過名為.devicZz的新加密病毒再次活躍。該特定的病毒家族通過添加.devicZz擴展名來修改所有流行的文件類型，從而使數據絕對不可用。受害人根本無法打開他們的重要文件。勒索病毒還分配其唯一的識別密鑰，就像病毒家族的所有先前代表一樣。一旦該文件被勒索軟件加密，它將獲得一個特殊的新擴展名，成為次要擴展名。該文件病毒還會生成贖金記錄，向用戶提供據稱想要恢復數據的指令。

該病毒會終止許多重要的Windows進程，以便更快速地加密數據。我們對中毒機器進行了分析并得出結論，Mallox勒索病毒家族混合使用了Chacha20和AES-128算法，在加密數據上寫入了堅固的密碼并留下勒索信說明文件。

勒索說明文件內容：

YOUR FILES ARE ENCRYPTED !!!

TO DECRYPT, FOLLOW THE INSTRUCTIONS:

To recover data you need decrypt tool.

To get the decrypt tool you should:

1.In the letter include your personal ID! Send me this ID in your first email to me!

2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!

3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!

4.We can decrypt few files in quality the evidence that we have the decoder.

CONTACT US:

deviceZz@mail

mallox@

recohelper@cock.li

YOUR PERSONAL ID: AC998DE56C41

與該病毒同類的后綴病毒還有以下各種后綴，都是同一個病毒家族的，我們團隊均可以恢復處理：

.devicZz

.consultransom

.mallox

.avast

.carone

.exploit

.architek

.brg

.herrco

.artiis

二.devicZz后綴勒索病毒是如何傳播感染的？

經過分析多家公司感染勒索病毒后的機器環(huán)境及系統(tǒng)日志判斷，Mallox勒索病毒家族基本上是通過以下幾種方式入侵，請大家可逐一了解并檢查以下防范入侵方式，畢竟事前預防比事后恢復容易的多。

三、中了.devicZz后綴勒索病毒文件怎么恢復？

此后綴病毒文件由于加密算法的原因，每臺感染的電腦服務器文件都不一樣，需要獨立檢測與分析加密文件的病毒特征與加密情況，才能確定最適合的恢復方案。

考慮到數據恢復需要的時間、成本、風險等因素，建議如果數據不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統(tǒng)，后續(xù)做好系統(tǒng)安全防護工作即可。如果受感染的數據確實有恢復的價值與必要性，可添加我們的技術服務號（sjhf91）進行免費咨詢獲取數據恢復的相關幫助。

系統(tǒng)安全防護措施建議：

①　及時給辦公終端和服務器打補丁，修復漏洞，包括操作系統(tǒng)以及第三方應用的補丁，防止攻擊者通過漏洞入侵系統(tǒng)。

②　盡量關閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險。

③　不對外提供服務的設備不要暴露于公網之上，對外提供服務的系統(tǒng)，應保持較低權限。

④　企業(yè)用戶應采用高強度且無規(guī)律的密碼來登錄辦公系統(tǒng)或服務器，要求包括數字、大小寫字母、符號，且長度至少為8位的密碼，并定期更換口令。

⑤　數據備份保護，對關鍵數據和業(yè)務系統(tǒng)做備份，如離線備份，異地備份，云備份等， 避免因為數據丟失、被加密等造成業(yè)務停擺，甚至被迫向攻擊者妥協。

⑥　敏感數據隔離，對敏感業(yè)務及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數據，對公司業(yè)務和機密信息造成重大威脅。

⑦　盡量關閉不必要的文件共享。

⑧　提高安全運維人員職業(yè)素養(yǎng)，定期進行木馬病毒查殺。