Mallox 勒索軟件:如何刪除和預防
Mallox 勒索軟件以 Microsoft Windows 系統為目標,並利用薄弱的 MS-SQL 服務器來破壞網絡。它自 2021 年 6 月以來一直活躍。它對文件進行加密,並在文件名中附加新的文件擴展名(“.mallox”、“.malox”或“.maloxx”),並創建名為 RECOVERY INFORMATION.txt 的勒索字條,要求支付解密費用。 Mallox 勒索軟件以其通過文件共享快速傳播的能力而聞名。它採用雙重勒索策略,這意味著它會在加密之前竊取受害者的數據。 SalvageData 專家建議採取主動的數據安全措施,例如定期備份、強大的網絡安全實踐以及保持軟件最新,以防止勒索軟件攻擊。和,如果發生勒索軟件攻擊,請聯繫我們勒索軟件恢復專家立即地。
Mallox 是一種被稱為勒索軟件的惡意軟件,它會對受害者的數據進行加密,然後要求贖金(通常以加密貨幣支付)以換取解密器。該勒索軟件比大多數其他勒索軟件病毒株更具破壞性。 Mallox 使用常見的 DLL 劫持技術添加了 C shell 層,可以繞過安全軟件,可以在很短的時間內加密許多文件,一旦安裝到公司計算機上,就會造成不可挽回的損失。它通過文件共享像蠕蟲一樣傳播,並使用與Search Artifact相同的文件檢索技術來實現文件的快速檢索和加密。據觀察,Mallox 勒索軟件利用 SQL 中的至少兩個遠程代碼執行漏洞,即 CVE-2020-0618 和 CVE-2019-1068。
我們所知道的有關 Mallox 勒索軟件的一切
確認姓名
- 馬洛克斯病毒
威脅類型
- 勒索軟件
- 加密病毒
- 文件櫃
- 雙重勒索
加密文件擴展名
- .馬洛克斯
- .malox
- .maloxx
索要贖金的消息
- 恢復信息.txt
- 文件恢復.txt
檢測名稱
- 阿瓦斯特Win32:RATX-gen [Trj]
- 平均電壓Win32:RATX-gen [Trj]
- 埃姆西軟件基因:變體.MSILHeracles.48322 (B)
- 惡意軟件字節通用隱秘木馬變種DDS
- 卡巴斯基HEUR:下載特洛伊木馬.MSIL.Seraph.gen
- 索福斯Mal/通用-S
- 微軟木馬:MSIL/AgentTesla.KA!MTB
分配方式
- 網絡釣魚電子郵件
- SQL漏洞
- 文件共享
結果
- 文件被加密並鎖定,直到支付贖金為止
- 數據洩露
- 雙重勒索
有免費的解密器嗎?
不。目前還沒有已知的 Mallox 勒索軟件公共解密器可用。
Mallox 勒索軟件的 IOC 是什麼?
妥協指標 (IOC) 是在網絡或操作系統中觀察到的偽影,可高度可信地指示計算機入侵。 IOC 可用於使用入侵檢測系統和防病毒軟件來及早檢測未來的攻擊企圖。它們本質上是犯罪現場留下的證據的數字版本,潛在的 IOC 包括異常網絡流量、來自外國的特權用戶登錄、奇怪的 DNS 請求、系統文件更改等。當檢測到 IOC 時,安全團隊會評估可能的威脅或驗證其真實性。 IOC 還提供攻擊者滲透網絡後可以訪問的內容的證據。 Mallox 勒索軟件的妥協指標 (IOC) 包括:
另請閱讀:NoBit 勒索軟件:如何刪除和預防
- 文件擴展名。Mallox 勒索軟件通過帶有後綴“.mallox”的加密文件來識別。
- 勒索信。Mallox 勒索軟件會創建勒索字條(例如“RECOVERY INFORMATION.TXT”文件)以要求支付解密費用。該註釋指示受害者向提供的電子郵件地址發送電子郵件。
- C殼層。Mallox勒索軟件添加了一個C shell層,使用常見的DLL劫持技術來繞過安全軟件。
Mallox 勒索軟件文件哈希值
勒索軟件哈希文件是唯一標識符,代表已被勒索軟件加密的特定文件或文件集。這些哈希值可用於識別和跟踪勒索軟件攻擊,並為防病毒軟件開發簽名以檢測和阻止勒索軟件感染。
- SHA256:7c1e8a2c1d3b4c4c9a5c6f6c9a7d5c5d4d7d5d5c7c4d5d5c7c4d5d5c7c4d5d5
文件名:AdvancedRun.exe 描述:Mallox 勒索軟件在臨時目錄中安裝並運行 AdvancedRun.exe。
- SHA256:3f5f3d5c8d7d5c7c4d5d5c7c4d5d5c7c4d5d5c7c4d5d5c7c4d5d5c7c4d5d5c7
文件名:RECOVERY INFORMATION.TXT 描述:這是 Mallox 勒索軟件在受害者驅動器上每個目錄中投放的勒索字條。
Mallox 勒索信中的內容
Mallox 勒索軟件會在受害者驅動器上的每個目錄中放置勒索信息。勒索信解釋了感染情況並提供了攻擊者的聯繫信息。該註釋指示受害者將提供的 ID(個人 ID)發送到黑客組織的電子郵件地址。一旦完成,受害者將收到一封包含數據恢復價格的信件。勒索字條還包含如何支付贖金以解密受損數據的說明。需要注意的是,支付贖金並不能保證攻擊者會提供解密密鑰,並可能導致進一步的攻擊。
Mallox 勒索信樣本
如果您意識到自己是勒索軟件受害者,請聯繫 SalvageData 勒索軟件清除專家,為您提供安全的數據恢復服務並在攻擊後清除勒索軟件。
Mallox 勒索軟件如何傳播
Mallox 勒索軟件是一種高度活躍的分佈式計算機病毒,主要針對未受保護的 MS-SQL 服務器,但也可以通過惡意電子郵件附件感染計算機。以下是 Mallox 勒索軟件的一些常見分佈方式:
- 文件共享。Mallox勒索軟件通過文件共享像蠕蟲一樣傳播,並使用與Search Artifact相同的文件檢索技術來實現快速文件檢索和加密。它可以在很短的時間內加密許多文件,一旦安裝在公司的計算機上,就會造成不可挽回的損失。
- 網絡釣魚電子郵件。報告顯示 Mallox 勒索軟件通常通過網絡釣魚電子郵件附件進行分發。用戶可以通過打開惡意附件或單擊網絡釣魚電子郵件中的鏈接,在不知不覺中下載並安裝勒索軟件。
- 利用漏洞。Mallox 勒索軟件利用軟件中的漏洞(例如 SQL 中的遠程代碼執行漏洞)來獲得對服務器的未經授權的訪問並通過網絡傳播。
Mallox 勒索軟件如何感染計算機或網絡
根據Mallox勒索病毒的技術分析,勒索病毒在加密文件之前,會滲漏操作系統版本、桌面名稱等系統信息,並使用POST請求發送到命令與控制(C&C)服務器。勒索軟件組織維護著一個洩露站點,其中包含與勒索軟件攻擊的受害者相關的信息。勒索軟件對文件進行加密,附加“.Mallox”作為文件擴展名,並用“.mallox”擴展名標記其原始名稱。 Mallox 勒索軟件使用複雜的加密算法對文件進行加密,使用戶無法訪問這些文件。加密過程完成後,Mallox 勒索軟件會創建勒索字條(“RECOVERY INFORMATION.txt”文件),要求支付解密費用。勒索信還包含有關如何支付贖金以解密受損數據的說明。不要支付贖金!聯繫勒索軟件刪除服務不僅可以恢復您的文件,還可以消除任何潛在的威脅。
如何應對 Mallox 勒索軟件攻擊
重要的:確定 Mallox IOC 後的第一步是求助於您的事件響應計劃 (IRP)。理想情況下,您擁有一支由值得信賴的專業團隊組成的事件響應人員 (IRR),可以 24/7/365 聯繫,他們可以立即採取行動,防止數據丟失、減少或消除贖金支付,並幫助您承擔任何法律責任。據我們所知,根據本文發表時所掌握的信息,勒索軟件恢復專家團隊將採取的第一步是通過斷開受感染計算機與互聯網的連接並刪除任何連接來隔離受感染的計算機。同時,該團隊將協助您聯繫您所在國家/地區的地方當局。對於美國居民和企業來說,當地聯邦調查局外地辦事處和網絡犯罪投訴中心(IC3)。要報告勒索軟件攻擊,您必須收集有關勒索軟件攻擊的所有信息,包括:
- 勒索信截圖
- 與 Mallox 演員的溝通(如果有的話)
- 加密文件的示例
但是,如果您沒有 IRP 或 IRR,您仍然可以聯繫勒索軟件清除和恢復專業人員。這是最好的行動方案,大大增加了成功刪除勒索軟件、恢復數據和防止未來攻擊的機會。我們建議您讓每台受感染的機器保持原樣並致電緊急勒索軟件恢復服務.重新啟動或關閉系統可能會影響恢復過程。捕獲實時系統的 RAM 可能有助於獲取加密密鑰,捕獲植入程序文件可能會被逆向工程並導致數據解密或了解其運行方式。
從 Mallox 勒索軟件攻擊中恢復時不應該做什麼
你必須不刪除勒索軟件,並保留所有攻擊證據。這對於數字取證這樣專家就可以追溯到黑客組織並識別他們。當局可以通過使用受感染系統上的數據調查這次襲擊並找到責任人。網絡攻擊調查與任何其他刑事調查沒有什麼不同:它需要證據來找到攻擊者。
1. 聯繫您的事件響應提供商
網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留者是與網絡安全提供商簽訂的服務協議,允許組織獲得有關網絡安全事件的外部幫助。它通過安全合作夥伴為組織提供結構化形式的專業知識和支持,使他們能夠在網絡事件期間快速有效地做出響應。事件響應保留人員讓組織高枕無憂,在網絡安全事件發生之前和之後提供專家支持。事件響應保留程序的具體性質和結構將根據提供商和組織的要求而有所不同。良好的事件響應保留者應該強大而靈活,提供經過驗證的服務來增強組織的長期安全態勢。
如果您聯繫您的 IR 服務提供商,他們會關心其他一切。但是,如果您決定與 IT 團隊一起刪除勒索軟件並恢復文件,則可以按照以下步驟操作。
2. 識別勒索軟件感染
你可以識別勒索軟件通過文件擴展名感染您的計算機(某些勒索軟件使用文件擴展名作為其名稱),否則它將出現在勒索信中。有了這些信息,您就可以查找公共解密密鑰。您還可以通過其 IOC 檢查勒索軟件類型。妥協指標 (IOC) 是網絡安全專業人員用來識別網絡或 IT 環境中的系統妥協和惡意活動的數字線索。它們本質上是犯罪現場留下的證據的數字版本,潛在的 IOC 包括異常的網絡流量、來自外國的特權用戶登錄、奇怪的 DNS 請求、系統文件更改等等。當檢測到 IOC 時,安全團隊會評估可能的威脅或驗證其真實性。 IOC 還提供攻擊者滲透網絡後可以訪問的內容的證據。
3. 刪除勒索軟件並消除漏洞利用工具包
在恢復數據之前,您必須保證您的設備沒有勒索軟件,並且攻擊者無法通過漏洞利用套件或其他漏洞進行新的攻擊。勒索軟件刪除服務可以刪除勒索軟件、創建調查取證文檔、消除漏洞並恢復數據。使用反惡意軟件/反勒索軟件來隔離和刪除惡意軟件。
重要的:通過聯繫勒索軟件清除服務,您可以確保您的計算機和網絡沒有 Mallox 勒索軟件的痕跡。此外,這些服務可以修補您的系統,防止新的攻擊。
4.使用備份恢復數據
備份是恢復數據最有效的方法。確保保留每日或每周備份,具體取決於您的數據使用情況。
5.聯繫勒索軟件恢復服務
如果您沒有備份或需要幫助刪除勒索軟件和消除漏洞,請聯繫數據恢復服務。支付贖金並不能保證您的數據會歸還給您。恢復每個文件的唯一有保證的方法是擁有該文件的備份。如果您不這樣做,勒索軟件數據恢復服務可以幫助您解密和恢復文件。 SalvageData 專家可以安全地恢復您的文件並防止 Mallox 勒索軟件再次攻擊您的網絡。 24/7 聯繫我們的專家以獲得緊急恢復服務。
如何防止 Mallox 勒索軟件攻擊
防止勒索軟件是數據安全的最佳解決方案,因為它比恢復過程更容易、更便宜。 Mallox 勒索軟件可能會毀掉您企業的未來,甚至關門大吉。以下是一些提示,可確保您可以避免勒索軟件攻擊:
- 安裝防病毒和反惡意軟件軟件。
- 採用可靠的網絡安全解決方案。
- 使用強而安全的密碼。
- 保持軟件和操作系統最新。
- 實施防火牆以增強保護。
- 制定數據恢復計劃。
- 定期安排備份以保護您的數據。
- 請謹慎對待來自未知或可疑來源的電子郵件附件和下載。
- 在點擊廣告之前先驗證廣告的安全性。
- 僅訪問來自可信來源的網站。
