Mallox病毒家族之.xollam后缀勒索病毒分析

打开网易新闻 查看精彩图片

目录

前言：案例简介

一、什么是.xollam勒索病毒？

二、中了.xollam后缀勒索病毒文件怎么恢复？

三、防止勒索病毒-日常安全防护提议

前言：案例简介

.xollam后缀勒索病毒是海外著名勒索病毒大家族Mallox(TargetCompany)的新式传播病毒，近期大家早已收到一些的公司咨询与寻求帮助，请各公司尽量加强防范。

这个.xollam后缀勒索病毒已经是Mallox勒索病毒家族今年的第N个升级变种了，同时也是自从2022年发现.xollam勒索病毒至今，短短几个月时间，这个病毒就升级了几代，根据文件的加密时间观察对比，其加密速度也在提升，这将导致数据的恢复难度再一次升级，下面我们来了解看看这个.xollam后缀勒索病毒。

下面我们来了解看看这个.xollam后缀勒索病毒。

一、什么是.xollam勒索病毒？

依据专家开展的研究，.xollam勒索病毒是一种相对高度风险的文件加密病毒感染，.xollam勒索病毒致力于数据加密数据库文件，用以额外客户具体采用的几乎所有的有可能的文件属性。在数据加密全过程中，在文件夹名称后额外新的文件扩展名（“ .xollam”），例如，它将名叫“ 1.jpg”的文件重命名为“ 1.xollam”，将“ 2.jpg”重新命名为“ 2.xollam”。

该病毒感染会停止很多关键的Windows过程，便于更迅速地数据加密数据信息。大家对中毒了设备开展了剖析并得出以下结论：，Mallox勒索病毒大家族混和应用了Chacha20和AES-128优化算法，在数据加密数据信息上载入了稳固的登陆密码并留有敲诈勒索信表明文档。

.milovski，.xollam，.avast，.devicZz，.consultransom，.mallox，.carone，.exploit，.architek，.brg，.herrco，artiis等勒索病毒感染对于大多数杀毒软件识别来说可能非常具有挑战性，因为文件加密过程完成后不会损坏文件。因此，您的杀毒软件不太可能警告您系统后台正在进行文件加密过程。这是因为，实际上，加密程序是一种被广泛使用的数据保护技术，一般情况下不会造成文件损坏，所以杀毒软件都不会阻止这个过程，这也是为什么很多受害者反馈机器上有运行安全防护软件，但是却没有拦截住此文件加密行为。

加密说明文档FILE RECOVERY.txt內容：

Hello

Your files are encrypted and can not be used

To return your files in work condition you need decryption tool

Follow the instructions to decrypt all your data

Do not try to change or restore files yourself, this will break them

If you want, on our site you can decrypt one file for free. Free test decryption allowed only for not valuable file with size less than 3MB

How to get decryption tool:

1) Download and install TOR browser by this link: https://www.torproject.org/download/

2) If TOR blocked in your country and you can't access to the link then use any VPN software

3) Run TOR browser and open the site: wtyafjyhwqrgo4a45wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion/mallox/privateSignin

4) Copy your private ID in the input field. Your Private key: 365EC13464831BC5EFD5B610

5) You will see payment information and we can make free test decryption here

Our blog of leaked companies:

wtyafjyhwqrgo4a45wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion

If you are unable to contact us through the site, then you can email us: mallox.resurrection@onionmail.org

Waiting for a response via mail can be several days. Do not use it if you have not tried contacting through the site.

.xollam勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，Mallox勒索病毒家族基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

打开网易新闻 查看精彩图片

二、中了.xollam后缀勒索病毒文件怎么恢复？

此后缀名病毒感染文档因为加密技术的缘故，每台感染的电脑服务器文档都不一样，必须单独检验与剖析加密文件的病毒特征与数据加密状况，才可以明确最适合的数据恢复方案。

考虑数据修复必须的時间、成本费、风险性等要素，假如数据不太重要，提议立即重装系统格式化即可，后面做好系统软件安全防护工作中就可以。假如受感染的数据信息的确有恢复的实际价值与重要性，可添加我们的技术服务号（sjhf91）开展免费咨询获取数据恢复的有关帮助。

三、防止勒索病毒-日常安全防护提议：

防止远比援救关键，因此为了更好地防止出现这类事情，强烈要求大家日常做好下列防护措施：

1. 1.实施强密码。许多帐户泄露的发生是由于易于猜测的密码，或者那些简单到算法工具可以在几天内发现的密码。确保您选择安全密码，例如选择具有字符变化的较长密码，以及使用自行创建的规则来制作密码短语。

2. 2.激活多重身份验证。通过在基于密码的初始登录顶部添加层来阻止暴力攻击。尽可能在所有系统上包括生物识别或物理 USB 密钥身份验证器等措施。

3. 3.重新评估并简化用户帐户权限。将权限限制在更严格的级别，以限制潜在威胁不受阻碍地通过。特别注意端点用户和具有管理员级别权限的 IT 帐户访问的那些。Web 域、协作平台、Web 会议服务和企业数据库都应该受到保护。

4. 4.清理过时和未使用的用户帐户。一些较旧的系统可能有来自过去员工的帐户，这些帐户从未停用和关闭。完成对系统的检查应包括消除这些潜在的弱点。

5. 5.确保系统配置遵循所有安全程序。这可能需要时间，但重新审视现有设置可能会发现新问题和过时的策略，使您的企业面临攻击风险。必须定期重新评估标准操作程序，以应对新的网络威胁。

6. 6.始终准备好系统范围的备份和干净的本地机器映像。事件会发生，唯一真正可以防止永久数据丢失的保护措施是脱机备份。您的数据应定期创建离线异地备份，以及时了解系统的任何重要更改。如果备份被恶意病毒感染，可以考虑使用多个轮换的备份点来选择文件保存周期。

7. 7.确保拥有全面的企业网络安全解决方案。可以考虑采购企业级的网络安全保护软件将帮助您通过实时保护捕获整个企业网络中的文件下载及更好地抵御网络攻击。以帮助您保护您的业务和设备。

以下是2022年常见传播的勒索病毒，表明勒索病毒正在呈现多样化以及变种迅速地态势发展。

后缀360勒索病毒,milovski勒索病毒，milovski-Q勒索病毒,mallox勒索病毒,xollam勒索病毒,faust勒索病毒,lockbit勒索病毒,locked1勒索病毒,lockbit3.0勒索病毒,eight勒索病毒,locked勒索病毒,locked1勒索病毒,mkp勒索病毒,makop勒索病毒,devos勒索病毒,eking勒索病毒,Globeimposter-Alpha865qqz勒索病毒,nread勒索病毒,.Elibe勒索病毒,.[hudsonL@cock.li].Devos勒索病毒，.[myers@cock.li].Devos勒索病毒,nread勒索病毒……….