如何恢复被MALLOX勒索病毒加密的重要数据？

什么是mallox勒索病毒？

Mallox勒索病毒是一种新型电脑病毒，与传统的电脑病毒不同，它并不会直接导致电脑瘫痪。相反，它以另一种方式制造恐惧：通过加密用户电脑中的重要文件数据，并以此来进行勒索。这种病毒是一种恶意电脑程序，能够进入用户的服务器，自动识别并找到用户服务器中的数据，然后将其传送回黑客的服务器。这样，黑客就能获取用户的重要数据。传送完成后，病毒会利用加密算法对这些数据进行加密，并把文件的后缀名更改为.mallox。之后，病毒会通过网页或在桌面生成勒索信，通知用户其关键文件已被加密。安全专家服务号（safe130）

Mallox勒索病毒主要针对企业的Web应用和数据库服务器进行攻击，其中包括Spring Boot、Weblogic、OA、财务软件（如：金蝶，管家婆，思迅）等。该病毒可以通过获取数据库口令后，远程下发勒索病毒，并在被攻击设备的Web应用中大量植入WebShell。一旦攻击成功，病毒会在目标设备内尝试释放其他黑客工具，控制机器并创建账户，尝试远程登录目标机器，以获取更多内网中的设备权限，从而部署勒索病毒。

mallox勒索病毒又有新变种？

Mallox勒索病毒存在多个变种，其中一个显著的特点是它会改变被加密文件的扩展名。在初始阶段，攻击者在部署Mallox勒索病毒时，会将扩展名命名为被攻击企业的名称或其所属的行业名，如tohnichi、artiis、herrco、architek等。后来，为了混淆安全研究人员的追踪，攻击者开始周期性更换为固定的通用扩展名，如malloxx, malox, ma10x, fargo, fargo2, fargo3等。而在某些情况下，被加密文件的扩展名会被修改为类似acookies-xxxxxxxx的格式以区分受害者。

如何恢复被Mallox勒索病毒加密的数据？

1. 断开网络连接：一旦发现计算机服务器遭到Mallox勒索病毒攻击，应立即断开网络连接以及所有与该计算机的连接操作，以避免病毒进一步传播和感染同局域网下的其他计算机。
2. 结束加密程序：在进行任何操作之前，尝试结束勒索病毒的加密程序。可以通过同时按下Ctrl+Alt+Delete键，进入计算机任务管理器，并结束与Mallox勒索病毒相关的加密程序。
3. 备份加密文件：在尝试解密之前，建议通过外部存储设备（如优盘或硬盘）备份被加密的数据文件。这样做是为了防止在解密过程中发生意外，导致数据丢失。请注意，不要使用网络上的解密工具，因为它们可能无法解密Mallox勒索病毒，并可能对源文件造成进一步损坏。
4. 寻求专业帮助：联系专业的数据恢复机构或网络安全专家(safe130)。这些专业人员可以通过专业的数据检测和分析，制定合理的数据恢复和解密计划。特别是对于数据库文件，如mdf、bak、dbf、dmp等，可能需要特定的技术手段进行单独修复。
5. 整机数据解密：如果企业的数据文件不仅存储在数据库中，还存在于计算机硬盘中，并且包含图档或视频格式的文件，可以考虑整机解密的方式。整机解密数据恢复完整度通常较高。
6. 后期防护：在成功恢复数据后，务必加强计算机系统的安全防护措施。这包括安装可靠的防病毒软件、定期更新计算机和软件的补丁、定期备份系统文件以及提高网络安全意识，避免点击和下载可疑的链接和邮件附件。

自行解密被勒索病毒加密的数据可能存在一定的风险。如果没有足够的经验和技能，最好寻求网络安全专业人员的帮助以确保数据的完整性和安全性。