一，什么是mallox 勒索病毒

mallox后綴屬于mallox家族勒索病毒，此家族后綴還有很多，比較常見的有:mallox，xollam，avast，bozon，fargo，fargo3等。

mallox勒索病毒從2021年10開始出現(xiàn)，攻擊方式主要是通過爆破遠(yuǎn)程桌面獲取遠(yuǎn)程桌面登錄密碼，在拿到遠(yuǎn)程桌面密碼后登錄到用戶機(jī)器上進(jìn)行手動(dòng)投毒。

mallox勒索信名稱為：file recovery.txt，在每個(gè)目錄下都會(huì)留下一個(gè)。

注意:如果給黑客付贖金，存在二次被勒索風(fēng)險(xiǎn)，也就是說可能您支付了贖金后拿不到秘鑰，

或者給了秘鑰無法正常解密的情況，需要多次支付贖金，建議可以修復(fù)的情況用修復(fù)手段解決,

萬不得已可自行和黑客溝通解決。

被加密后的文件會(huì)在原有的文件名后加上mallox或xollam等后綴,比如原文件是DF2023.mdf,被加密后文件名就是DF2023.mdf.mallox，如下圖：

二，mallox勒索病毒文件分析

此次分析的文件為MDF數(shù)據(jù)庫文件，被加密后的文件底層，如下圖：

?

上圖中可以看到，文件被加密后為亂碼，已經(jīng)不是正常的mdf文件頭部，再看看文件結(jié)尾處的情況：

上圖中可以看到文件尾是典型的mallox家族勒索病毒的特征。

三，mallox勒索病毒是否可以恢復(fù)

可以恢復(fù)，客戶數(shù)據(jù)已經(jīng)成功恢復(fù)，并且交付客戶驗(yàn)證成功，恢復(fù)完成后數(shù)據(jù)如下圖：

恢復(fù)完成后掛載正常：

數(shù)據(jù)庫經(jīng)客戶驗(yàn)證，已經(jīng)100%完整修復(fù)，不丟記錄，客戶已將數(shù)據(jù)用于實(shí)際生產(chǎn)環(huán)境。

注意：被mallox加密的數(shù)據(jù)庫不僅僅破壞頭部和尾部信息，并且中間部分隨機(jī)破壞了很多信息，

同行一般用常規(guī)修復(fù)方法效果很差，需要用特殊的修復(fù)手段，可以達(dá)到100%完整修復(fù)。

四，如何防范mallox 勒索病毒

1，殺毒軟件部署：建議安裝火絨殺毒軟件，個(gè)人版本為免費(fèi)軟件，安裝完成后可設(shè)置軟件的功能設(shè)置和退出密碼，密碼強(qiáng)度建議大小寫加特殊字符，密碼位數(shù)不小于16位。此功能可在黑客獲得系統(tǒng)管理員權(quán)限后，更改殺毒軟件設(shè)置和結(jié)束殺毒軟件進(jìn)程時(shí)沒有密碼而不能改變?cè)O(shè)置和結(jié)束進(jìn)程，只要?dú)⒍拒浖M(jìn)程還在運(yùn)行，黑客的加密程序?qū)o法拷貝到本地，即使拷貝到本地也不能運(yùn)行。從而保護(hù)數(shù)據(jù)安全。

2，數(shù)據(jù)備份：數(shù)據(jù)庫建議進(jìn)行定時(shí)的離線備份或異地備份。根據(jù)數(shù)據(jù)庫數(shù)據(jù)的顆粒度設(shè)置備份周期（每日、每三天、每周），并嚴(yán)格遵守。文件共享服務(wù)器可采用NAS（網(wǎng)絡(luò)附屬存儲(chǔ)）進(jìn)行備份，可對(duì)重要文件夾進(jìn)行差異備份，只要此文件夾內(nèi)文檔有改動(dòng)，備份軟件便會(huì)對(duì)改動(dòng)的文件進(jìn)行備份?？稍O(shè)置全盤備份、某個(gè)目錄備份及整機(jī)備份。有效保證數(shù)據(jù)安全。云服務(wù)器離線備份不方便，可在云服務(wù)器端安裝百度網(wǎng)盤等工具，設(shè)置對(duì)重要文件所在的目錄進(jìn)行定期備份，要注意的是密碼強(qiáng)度一定要高。

3，網(wǎng)絡(luò)端口安全：操作系統(tǒng)應(yīng)開啟網(wǎng)絡(luò)防火墻，只開放服務(wù)器向外提供服務(wù)的端口，其它端口一律關(guān)閉。一些常用知名端口可更改端口號(hào)再對(duì)外提供服務(wù)，如MSSQL 的常用端口號(hào)為1433，遠(yuǎn)程桌面端口號(hào)為3389等，可將這類端口號(hào)更改為不常用的端口號(hào)，更改完成后只要在配置服務(wù)時(shí)相應(yīng)的配置便可。因?yàn)楹诳统Ｓ玫木W(wǎng)絡(luò)掃描工具會(huì)針對(duì)知名端口號(hào)進(jìn)行掃描，再根據(jù)端口的漏洞進(jìn)行攻擊，攻擊成功后便可對(duì)機(jī)器進(jìn)行加密。開放的端口越少，黑客可利用的就越少，系統(tǒng)就越安全。

4，密碼安全及系統(tǒng)更新：基本要求為所有的密碼都應(yīng)設(shè)置大于16位的數(shù)據(jù)+字母（大小寫）+特殊符號(hào)的強(qiáng)密碼，如果有多臺(tái)服務(wù)器應(yīng)為每臺(tái)服務(wù)器設(shè)置單獨(dú)的登錄密碼，防止黑客在成功爆破一臺(tái)服務(wù)器后把所有服務(wù)器被一鍋端。建議操作系統(tǒng)安裝windows 2016以上版本，并經(jīng)常查看操作系統(tǒng)的更新功能，檢查發(fā)現(xiàn)有要安裝的補(bǔ)丁應(yīng)及時(shí)更新，并留意微軟每個(gè)月的第二個(gè)星期二定期發(fā)布系統(tǒng)更新補(bǔ)丁日，有涉及到的應(yīng)及時(shí)更新。

做好以上四個(gè)方面可有效的提高數(shù)據(jù)及系統(tǒng)安全性，如果在實(shí)施過程中需要我們協(xié)助可隨時(shí)聯(lián)系我們。

五，成功案例

1.勒索病毒數(shù)據(jù)庫恢復(fù)①,devos,eking,avast,locked,360,mallox,lockbit,mkp,eight,zeppelin,makop等勒索病毒均可恢復(fù).

?②,針對(duì)被加密的數(shù)據(jù)庫文件進(jìn)行修復(fù)，速度快，完整度好，費(fèi)用低。

?③,支持SQL server Oracle Mysql等數(shù)據(jù)庫修復(fù)

?④,金蝶，用友，管家婆等ERP數(shù)據(jù)庫修復(fù)后可直接應(yīng)用，不報(bào)錯(cuò)，已成功恢復(fù)3000+數(shù)據(jù)庫。

2.勒索病毒虛擬機(jī)恢復(fù)

①，95%以上被加密的VMDK、VHD、VHDX 等磁盤文件??? 可實(shí)現(xiàn)修復(fù)，完整度好，可直接掛載開機(jī)。

②，95%以上文件修復(fù)費(fèi)用僅為黑客勒索贖金的10-20%, 最小代價(jià)恢復(fù)數(shù)據(jù)。

③，100%有成功案例，截止目前已幫助30+家大型上市企業(yè)、國(guó)有企事業(yè)單位及100+家中小企業(yè)成功修復(fù)

④，保密性好，數(shù)據(jù)不外泄，客戶 滿意度高。