Mallox病毒家族10月最新變種.mallox后綴勒索病毒升級傳播

6kU91數據恢復-數據恢復專家
6kU91數據恢復-數據恢復專家
 

目錄6kU91數據恢復-數據恢復專家

前言：簡介6kU91數據恢復-數據恢復專家

一、什么是.mallox勒索病毒？6kU91數據恢復-數據恢復專家

二、中了.mallox后綴勒索病毒文件怎么恢復？6kU91數據恢復-數據恢復專家

三、恢復案例介紹：6kU91數據恢復-數據恢復專家

四、系統安全防護措施建議：6kU91數據恢復-數據恢復專家

---

前言：簡介

近日， 我們發現 .mallox勒索病毒家族的攻擊事件。.mallox后綴勒索病毒主要針對企業的Web應用和數據庫服務器發起攻擊，包括Spring Boot、Weblogic、OA、財務軟件等，在拿下目標設備權限后還會嘗試在內網中橫向移動，獲取更多設備的權限，然后執行加密程序加密設備的文件。Mallox（又被稱作Target Company）于 2021 年 10 月開始傳播，早期主要通過SQLGlobeImposter渠道進行傳播（通過獲取到數據庫口令后，遠程下發勒索病毒。該攻擊方式之前曾長期被GlobeImposter勒索病毒家族使用）。而今年GlobeImposter勒索病毒家族的傳播量逐漸下降，Mallox就逐漸占據了這一渠道。6kU91數據恢復-數據恢復專家

如果不幸感染了這個勒索病毒，您可添加我們的數據恢復服務號（sjhf91）免費咨詢獲取數據恢復的相關幫助。6kU91數據恢復-數據恢復專家

下面我們來了解看看這個.mallox后綴勒索病毒。6kU91數據恢復-數據恢復專家

一、什么是.mallox勒索病毒？

我們發現，.mallox是一個勒索病毒類型程序的名稱。當我們在我們的測試系統上啟動一個樣本時，它會加密文件并在文件名后附加“ .mallox”擴展名。例如，最初標題為“ 1.jpg ”的文件顯示為“ 1.jpg.mallox”，“ 2.jpg ”顯示為“ 2.jpg.mallox”，依此類推。6kU91數據恢復-數據恢復專家

攻擊者會向Web應用中植入大量的WebShell，而這些文件的文件名中會包含“kk”的特征字符。一旦成功入侵目標設備，攻擊者會嘗試釋放PowerCat、lCX、AnyDesk等黑客工具控制目標機器、創建賬戶，并嘗試遠程登錄目標機器。此外，攻擊者還會使用fscan工具掃描設備所在內網，并嘗試攻擊內網中的其它機器。在獲取到最多設備權限后開始部署勒索病毒。6kU91數據恢復-數據恢復專家

而Mallox勒索病毒的狡猾程度不止于此。調查發現，Mallox家族經歷了多個發展階段，每個階段都會通過改變一些特征來區分受害者并躲避安全人員的追蹤。首先階段，攻擊者在部署Mallox勒索病毒時，會將拓展名命名為被攻擊企業的名稱或其所屬的行業名，如.devicZz，.consultransom，.mallox，.brg，.bozon，.maxoll-ID號，.consultraskey-G-ID號，.elmorenolan29，.bozon3，.FARGO，.FARGO3等加密后綴名。6kU91數據恢復-數據恢復專家

.mallox勒索病毒是如何傳播感染的？6kU91數據恢復-數據恢復專家

經過我們分析中毒后的機器環境判斷，Mallox勒索病毒家族基本上是通過以下兩種方式入侵。6kU91數據恢復-數據恢復專家

遠程桌面口令爆破6kU91數據恢復-數據恢復專家

關閉遠程桌面，或者修改默認用戶administrator。6kU91數據恢復-數據恢復專家

數據庫弱口令攻擊6kU91數據恢復-數據恢復專家

檢查數據庫的sa用戶的密碼復雜度。6kU91數據恢復-數據恢復專家

二、中了.mallox后綴勒索病毒文件怎么恢復？

此后綴病毒文件由于加密算法的原因，每臺感染的電腦服務器文件都不一樣，需要獨立檢測與分析加密文件的病毒特征與加密情況，才能確定最適合的恢復方案。6kU91數據恢復-數據恢復專家

考慮到數據恢復需要的時間、成本、風險等因素，建議如果數據不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統，后續做好系統安全防護工作即可。如果受感染的數據確實有恢復的價值與必要性，可添加我們的技術服務號（sjhf91）進行免費咨詢獲取數據恢復的相關幫助。6kU91數據恢復-數據恢復專家

三、恢復案例介紹：

1. 被加密數據情況6kU91數據恢復-數據恢復專家

一臺服務器，需要恢復的數據主要是數據庫文件。6kU91數據恢復-數據恢復專家

6kU91數據恢復-數據恢復專家

?6kU91數據恢復-數據恢復專家

6kU91數據恢復-數據恢復專家

 6kU91數據恢復-數據恢復專家

2. 數據恢復完成情況6kU91數據恢復-數據恢復專家

數據完成恢復，被加密的文件均已成功恢復，恢復率等于100%。6kU91數據恢復-數據恢復專家

6kU91數據恢復-數據恢復專家

 6kU91數據恢復-數據恢復專家

6kU91數據恢復-數據恢復專家

 6kU91數據恢復-數據恢復專家

四、系統安全防護措施建議：

預防遠比救援重要，所以為了避免出現此類事件，強烈建議大家日常做好以下防護措施：6kU91數據恢復-數據恢復專家

①　及時給辦公終端和服務器打補丁，修復漏洞，包括操作系統以及第三方應用的補丁，防止攻擊者通過漏洞入侵系統。6kU91數據恢復-數據恢復專家

②　盡量關閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險。6kU91數據恢復-數據恢復專家

③　不對外提供服務的設備不要暴露于公網之上，對外提供服務的系統，應保持較低權限。6kU91數據恢復-數據恢復專家

④　企業用戶應采用高強度且無規律的密碼來登錄辦公系統或服務器，要求包括數字、大小寫字母、符號，且長度至少為8位的密碼，并定期更換口令。6kU91數據恢復-數據恢復專家

⑤　數據備份保護，對關鍵數據和業務系統做備份，如離線備份，異地備份，云備份等， 避免因為數據丟失、被加密等造成業務停擺，甚至被迫向攻擊者妥協。6kU91數據恢復-數據恢復專家

⑥　敏感數據隔離，對敏感業務及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數據，對公司業務和機密信息造成重大威脅。6kU91數據恢復-數據恢復專家

⑦　盡量關閉不必要的文件共享。6kU91數據恢復-數據恢復專家

⑧　提高安全運維人員職業素養，定期進行木馬病毒查殺。6kU91數據恢復-數據恢復專家

.mallox后綴病毒勒索信FILE RECOVERY.txt說明文件內容：6kU91數據恢復-數據恢復專家

Hello6kU91數據恢復-數據恢復專家

Your files are encrypted and can not be used6kU91數據恢復-數據恢復專家

To return your files in work condition you need decryption tool6kU91數據恢復-數據恢復專家

Follow the instructions to decrypt all your data6kU91數據恢復-數據恢復專家

Do not try to change or restore files yourself, this will break them6kU91數據恢復-數據恢復專家

If you want, on our site you can decrypt one file for free. Free test decryption allowed only for not valuable file with size less than 3MB6kU91數據恢復-數據恢復專家

How to get decryption tool:6kU91數據恢復-數據恢復專家

1) Download and install TOR browser by this link: XXXXXXXXXXXXX6kU91數據恢復-數據恢復專家

2) If TOR blocked in your country and you can't access to the link then use any VPN software6kU91數據恢復-數據恢復專家

3) Run TOR browser and open the site: wtyafjyhwqrgo4a45wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion/mallox/privateSignin6kU91數據恢復-數據恢復專家

4) Copy your private ID in the input field. Your Private key: XXXXXXXXXXXXXXXXXXXX6kU91數據恢復-數據恢復專家

5) You will see payment information and we can make free test decryption here6kU91數據恢復-數據恢復專家

Our blog of leaked companies:6kU91數據恢復-數據恢復專家

wtyafjyhwqrgo4a45wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion6kU91數據恢復-數據恢復專家

If you are unable to contact us through the site, then you can email us: mallox@stealthypost.net6kU91數據恢復-數據恢復專家

Waiting for a response via mail can be several days. Do not use it if you have not tried contacting through the site.6kU91數據恢復-數據恢復專家

wtyafjyhwqrgo4a45wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion/mallox/privateSignin6kU91數據恢復-數據恢復專家

與該病毒同類的后綴病毒還有以下各種后綴，都是同一個病毒家族的，請務必注意防范：6kU91數據恢復-數據恢復專家

.devicZz6kU91數據恢復-數據恢復專家

.consultransom6kU91數據恢復-數據恢復專家

.mallox6kU91數據恢復-數據恢復專家

.brg6kU91數據恢復-數據恢復專家

.bozon6kU91數據恢復-數據恢復專家

.maxoll-ID號6kU91數據恢復-數據恢復專家

.consultraskey-G-ID號6kU91數據恢復-數據恢復專家

.elmorenolan296kU91數據恢復-數據恢復專家

.bozon36kU91數據恢復-數據恢復專家

.FARGO6kU91數據恢復-數據恢復專家

.FARGO36kU91數據恢復-數據恢復專家

.FARGO46kU91數據恢復-數據恢復專家

.elmorenolan-G-ID號6kU91數據恢復-數據恢復專家