勒索病毒修复案例

一，什么是mallox 勒索病毒

mallox后缀属于mallox家族勒索病毒，此家族后缀还有很多，比较常见的有:mallox，xollam，avast，bozon，fargo，fargo3等。

mallox勒索病毒从2021年10开始出现，攻击方式主要是通过爆破远程桌面获取远程桌面登录密码，在拿到远程桌面密码后登录到用户机器上进行手动投毒。

mallox勒索信名称为：file recovery.txt，在每个目录下都会留下一个。

注意:如果给黑客付赎金，存在二次被勒索风险，也就是说可能您支付了赎金后拿不到秘钥，

或者给了秘钥无法正常解密的情况，需要多次支付赎金，建议可以修复的情况用修复手段解决,

万不得已可自行和黑客沟通解决。

被加密后的文件会在原有的文件名后加上mallox或xollam等后缀,比如原文件是DF2023.mdf,被加密后文件名就是DF2023.mdf.mallox，如下图：

二，mallox勒索病毒文件分析

此次分析的文件为MDF数据库文件，被加密后的文件底层，如下图：

 

 

上图中可以看到，文件被加密后为乱码，已经不是正常的mdf文件头部，再看看文件结尾处的情况：

 

上图中可以看到文件尾是典型的mallox家族勒索病毒的特征。

三，mallox勒索病毒是否可以恢复

可以恢复，客户数据已经成功恢复，并且交付客户验证成功，恢复完成后数据如下图：

恢复完成后挂载正常：

 

数据库经客户验证，已经100%完整修复，不丢记录，客户已将数据用于实际生产环境。

注意：被mallox加密的数据库不仅仅破坏头部和尾部信息，并且中间部分随机破坏了很多信息，

同行一般用常规修复方法效果很差，需要用特殊的修复手段，可以达到100%完整修复。

四，如何防范mallox 勒索病毒

1，杀毒软件部署：建议安装火绒杀毒软件，个人版本为免费软件，安装完成后可设置软件的功能设置和退出密码，密码强度建议大小写加特殊字符，密码位数不小于16位。此功能可在黑客获得系统管理员权限后，更改杀毒软件设置和结束杀毒软件进程时没有密码而不能改变设置和结束进程，只要杀毒软件进程还在运行，黑客的加密程序将无法拷贝到本地，即使拷贝到本地也不能运行。从而保护数据安全。

2，数据备份：数据库建议进行定时的离线备份或异地备份。根据数据库数据的颗粒度设置备份周期（每日、每三天、每周），并严格遵守。文件共享服务器可采用NAS（网络附属存储）进行备份，可对重要文件夹进行差异备份，只要此文件夹内文档有改动，备份软件便会对改动的文件进行备份。可设置全盘备份、某个目录备份及整机备份。有效保证数据安全。云服务器离线备份不方便，可在云服务器端安装百度网盘等工具，设置对重要文件所在的目录进行定期备份，要注意的是密码强度一定要高。

3，网络端口安全：操作系统应开启网络防火墙，只开放服务器向外提供服务的端口，其它端口一律关闭。一些常用知名端口可更改端口号再对外提供服务，如MSSQL 的常用端口号为1433，远程桌面端口号为3389等，可将这类端口号更改为不常用的端口号，更改完成后只要在配置服务时相应的配置便可。因为黑客常用的网络扫描工具会针对知名端口号进行扫描，再根据端口的漏洞进行攻击，攻击成功后便可对机器进行加密。开放的端口越少，黑客可利用的就越少，系统就越安全。

4，密码安全及系统更新：基本要求为所有的密码都应设置大于16位的数据+字母（大小写）+特殊符号的强密码，如果有多台服务器应为每台服务器设置单独的登录密码，防止黑客在成功爆破一台服务器后把所有服务器被一锅端。建议操作系统安装windows 2016以上版本，并经常查看操作系统的更新功能，检查发现有要安装的补丁应及时更新，并留意微软每个月的第二个星期二定期发布系统更新补丁日，有涉及到的应及时更新。

做好以上四个方面可有效的提高数据及系统安全性，如果在实施过程中需要我们协助可随时联系我们。

五，成功案例

1.勒索病毒数据库恢复①,devos,eking,avast,locked,360,mallox,lockbit,mkp,eight,zeppelin,makop等勒索病毒均可恢复.

 ②,针对被加密的数据库文件进行修复，速度快，完整度好，费用低。

 ③,支持SQL server Oracle Mysql等数据库修复

 ④,金蝶，用友，管家婆等ERP数据库修复后可直接应用，不报错，已成功恢复3000+数据库。

2.勒索病毒虚拟机恢复

①，95%以上被加密的VMDK、VHD、VHDX 等磁盘文件    可实现修复，完整度好，可直接挂载开机。

②，95%以上文件修复费用仅为黑客勒索赎金的10-20%, 最小代价恢复数据。

③，100%有成功案例，截止目前已帮助30+家大型上市企业、国有企事业单位及100+家中小企业成功修复

④，保密性好，数据不外泄，客户 满意度高。

东方数据恢复中心是由 东方护航数据恢复技术（北京）有限公司 创建的数据恢复品牌，在深圳设有分公司，公司定位于高端数据恢复服务，致力于为用户提供安全、专业、快捷的数据救援应急服务。服务范围涵盖数据恢复与数据销毁服务、数据恢复实验室建设、数据恢复产品研发与销售，以及数据恢复技术培训等。公司专注于数据恢复技术的研究，尤其是服务器RAID磁盘阵列、硬盘开盘、 数据库修复、文件碎片修复、非windows文件系统等数据恢复处理。accusys存储 数据恢复 xollam勒索病毒修复
公司建有数据恢复专用开盘洁净操作间，解决了硬盘开盘盘体的洁净度难题，自主研发了磁头调校拆装工具， 多碟片大容量多磁头装配仪器，SATA/SAS/SCSI/FC等硬盘磁头拆卸单元 ，大大提高了硬盘开盘的成功率。 公司配备了国际恢复设备，解决了市面上的所有类型的存储介质数据恢复。公司较早引起俄罗斯ACE全球**数据恢复工具PC3000等,轻松解决各类型硬盘的固件损坏，大量物理坏道或某些硬盘盘片有一定划伤的高难度数据恢复。欢迎广大朋友咨询联系（电话：18001061048微信同步）