Mallox 勒索软件：如何删除和预防

Jacki

2025-04-30

Mallox 勒索软件以 Microsoft Windows 系统为目标，并利用薄弱的 MS-SQL 服务器来破坏网络。它自 2021 年 6 月以来一直活跃。它对文件进行加密，并在文件名中附加新的文件扩展名（“.mallox”、“.malox”或“.maloxx”），并创建名为 RECOVERY INFORMATION.txt 的勒索字条，要求支付解密费用。Mallox 勒索软件以其通过文件共享快速传播的能力而闻名。它采用双重勒索策略，这意味着它会在加密之前窃取受害者的数据。SalvageData 专家建议采取主动的数据安全措施，例如定期备份、强大的网络安全实践以及保持软件最新，以防止勒索软件攻击。和，如果发生勒索软件攻击，请联系我们勒索软件恢复专家立即地。

Mallox 是一种被称为勒索软件的恶意软件，它会对受害者的数据进行加密，然后要求赎金（通常以加密货币支付）以换取解密器。该勒索软件比大多数其他勒索软件病毒株更具破坏性。Mallox 使用常见的 DLL 劫持技术添加了 C shell 层，可以绕过安全软件，可以在很短的时间内加密许多文件，一旦安装到公司计算机上，就会造成不可挽回的损失。它通过文件共享像蠕虫一样传播，并使用与Search Artifact相同的文件检索技术来实现文件的快速检索和加密。据观察，Mallox 勒索软件利用 SQL 中的至少两个远程代码执行漏洞，即 CVE-2020-0618 和 CVE-2019-1068。

我们所知道的有关 Mallox 勒索软件的一切

确认姓名

马洛克斯病毒

威胁类型

勒索软件
加密病毒
文件柜
双重勒索

加密文件扩展名

.马洛克斯
.malox
.maloxx

索要赎金的消息

恢复信息.txt
文件恢复.txt

检测名称

阿瓦斯特Win32:RATX-gen [Trj]
平均电压Win32:RATX-gen [Trj]
埃姆西软件基因：变体.MSILHeracles.48322 (B)
恶意软件字节通用隐秘木马变种DDS
卡巴斯基HEUR:下载特洛伊木马.MSIL.Seraph.gen
索福斯Mal/通用-S
微软木马：MSIL/AgentTesla.KA!MTB

分配方式

网络钓鱼电子邮件
SQL漏洞
文件共享

结果

文件被加密并锁定，直到支付赎金为止
数据泄露
双重勒索

有免费的解密器吗？

不。目前还没有已知的 Mallox 勒索软件公共解密器可用。

另请阅读：NoBit 勒索软件：如何删除和预防

Mallox 勒索软件的 IOC 是什么？

妥协指标 (IOC) 是在网络或操作系统中观察到的伪影，可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件来及早检测未来的攻击企图。它们本质上是犯罪现场留下的证据的数字版本，潜在的 IOC 包括异常网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等。当检测到 IOC 时，安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。Mallox 勒索软件的妥协指标 (IOC) 包括：

文件扩展名。Mallox 勒索软件通过带有后缀“.mallox”的加密文件来识别。
勒索信。Mallox 勒索软件会创建勒索字条（例如“RECOVERY INFORMATION.TXT”文件）以要求支付解密费用。该注释指示受害者向提供的电子邮件地址发送电子邮件。
C壳层。Mallox勒索软件添加了一个C shell层，使用常见的DLL劫持技术来绕过安全软件。

Mallox 勒索软件文件哈希值

勒索软件哈希文件是唯一标识符，代表已被勒索软件加密的特定文件或文件集。这些哈希值可用于识别和跟踪勒索软件攻击，并为防病毒软件开发签名以检测和阻止勒索软件感染。

SHA256：7c1e8a2c1d3b4c4c9a5c6f6c9a7d5c5d4d7d5d5c7c4d5d5c7c4d5d5c7c4d5d5

文件名：AdvancedRun.exe 描述：Mallox 勒索软件在临时目录中安装并运行 AdvancedRun.exe。

SHA256：3f5f3d5c8d7d5c7c4d5d5c7c4d5d5c7c4d5d5c7c4d5d5c7c4d5d5c7c4d5d5c7

文件名：RECOVERY INFORMATION.TXT 描述：这是 Mallox 勒索软件在受害者驱动器上每个目录中投放的勒索字条。

Mallox 勒索信中的内容

Mallox 勒索软件会在受害者驱动器上的每个目录中放置勒索信息。勒索信解释了感染情况并提供了攻击者的联系信息。该注释指示受害者将提供的 ID（个人 ID）发送到黑客组织的电子邮件地址。一旦完成，受害者将收到一封包含数据恢复价格的信件。勒索字条还包含如何支付赎金以解密受损数据的说明。需要注意的是，支付赎金并不能保证攻击者会提供解密密钥，并可能导致进一步的攻击。

Mallox 勒索信样本

如果您意识到自己是勒索软件受害者，请联系 SalvageData 勒索软件清除专家，为您提供安全的数据恢复服务并在攻击后清除勒索软件。

Mallox 勒索软件如何传播

Mallox 勒索软件是一种高度活跃的分布式计算机病毒，主要针对未受保护的 MS-SQL 服务器，但也可以通过恶意电子邮件附件感染计算机。以下是 Mallox 勒索软件的一些常见分布方式：

文件共享。Mallox勒索软件通过文件共享像蠕虫一样传播，并使用与Search Artifact相同的文件检索技术来实现快速文件检索和加密。它可以在很短的时间内加密许多文件，一旦安装在公司的计算机上，就会造成不可挽回的损失。
网络钓鱼电子邮件。报告显示 Mallox 勒索软件通常通过网络钓鱼电子邮件附件进行分发。用户可以通过打开恶意附件或单击网络钓鱼电子邮件中的链接，在不知不觉中下载并安装勒索软件。

利用漏洞。Mallox 勒索软件利用软件中的漏洞（例如 SQL 中的远程代码执行漏洞）来获得对服务器的未经授权的访问并通过网络传播。

Mallox 勒索软件如何感染计算机或网络

根据Mallox勒索病毒的技术分析，勒索病毒在加密文件之前，会渗漏操作系统版本、桌面名称等系统信息，并使用POST请求发送到命令与控制（C&C）服务器。勒索软件组织维护着一个泄露站点，其中包含与勒索软件攻击的受害者相关的信息。勒索软件对文件进行加密，附加“.Mallox”作为文件扩展名，并用“.mallox”扩展名标记其原始名称。 Mallox 勒索软件使用复杂的加密算法对文件进行加密，使用户无法访问这些文件。加密过程完成后，Mallox 勒索软件会创建勒索字条（“RECOVERY INFORMATION.txt”文件），要求支付解密费用。勒索信还包含有关如何支付赎金以解密受损数据的说明。不要支付赎金！联系勒索软件删除服务不仅可以恢复您的文件，还可以消除任何潜在的威胁。

如何应对 Mallox 勒索软件攻击

重要的：确定 Mallox IOC 后的第一步是求助于您的事件响应计划 (IRP)。理想情况下，您拥有一支由值得信赖的专业团队组成的事件响应人员 (IRR)，可以 24/7/365 联系，他们可以立即采取行动，防止数据丢失、减少或消除赎金支付，并帮助您承担任何法律责任。据我们所知，根据本文发表时所掌握的信息，勒索软件恢复专家团队将采取的第一步是通过断开受感染计算机与互联网的连接并删除任何连接来隔离受感染的计算机。同时，该团队将协助您联系您所在国家/地区的地方当局。对于美国居民和企业来说，当地联邦调查局外地办事处和网络犯罪投诉中心（IC3）。要报告勒索软件攻击，您必须收集有关勒索软件攻击的所有信息，包括：

勒索信截图
与 Mallox 演员的沟通（如果有的话）
加密文件的示例

但是，如果您没有 IRP 或 IRR，您仍然可以联系勒索软件清除和恢复专业人员。这是最好的行动方案，大大增加了成功删除勒索软件、恢复数据和防止未来攻击的机会。我们建议您让每台受感染的机器保持原样并致电紧急勒索软件恢复服务.重新启动或关闭系统可能会影响恢复过程。捕获实时系统的 RAM 可能有助于获取加密密钥，捕获植入程序文件可能会被逆向工程并导致数据解密或了解其运行方式。

从 Mallox 勒索软件攻击中恢复时不应该做什么

你必须不删除勒索软件，并保留所有攻击证据。这对于数字取证这样专家就可以追溯到黑客组织并识别他们。当局可以通过使用受感染系统上的数据调查这次袭击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同：它需要证据来找到攻击者。

1. 联系您的事件响应提供商

网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议，允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持，使他们能够在网络事件期间快速有效地做出响应。事件响应保留人员让组织高枕无忧，在网络安全事件发生之前和之后提供专家支持。事件响应保留程序的具体性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应保留者应该强大而灵活，提供经过验证的服务来增强组织的长期安全态势。

如果您联系您的 IR 服务提供商，他们会关心其他一切。但是，如果您决定与 IT 团队一起删除勒索软件并恢复文件，则可以按照以下步骤操作。

2. 识别勒索软件感染

你可以识别勒索软件通过文件扩展名感染您的计算机（某些勒索软件使用文件扩展名作为其名称），否则它将出现在勒索信中。有了这些信息，您就可以查找公共解密密钥。您还可以通过其 IOC 检查勒索软件类型。妥协指标 (IOC) 是网络安全专业人员用来识别网络或 IT 环境中的系统妥协和恶意活动的数字线索。它们本质上是犯罪现场留下的证据的数字版本，潜在的 IOC 包括异常的网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等等。当检测到 IOC 时，安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。

3. 删除勒索软件并消除漏洞利用工具包

在恢复数据之前，您必须保证您的设备没有勒索软件，并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除勒索软件、创建调查取证文档、消除漏洞并恢复数据。使用反恶意软件/反勒索软件来隔离和删除恶意软件。

重要的：通过联系勒索软件清除服务，您可以确保您的计算机和网络没有 Mallox 勒索软件的痕迹。此外，这些服务可以修补您的系统，防止新的攻击。

4.使用备份恢复数据

备份是恢复数据最有效的方法。确保保留每日或每周备份，具体取决于您的数据使用情况。

5.联系勒索软件恢复服务

如果您没有备份或需要帮助删除勒索软件和消除漏洞，请联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是拥有该文件的备份。如果您不这样做，勒索软件数据恢复服务可以帮助您解密和恢复文件。SalvageData 专家可以安全地恢复您的文件并防止 Mallox 勒索软件再次攻击您的网络。请 24/7 联系我们的专家以获得紧急恢复服务。