【安全圈】删除 MALLOX 勒索软件病毒（解密 .mallox 文件）

关键词

勒索软件

Mallox 勒索软件说明

Mallox 勒索软件（也称为 FARGO 或 TargetCompany）是一种高度活跃的分布式计算机病毒，主要针对未受保护的 MS-SQL 服务器，但也可以通过恶意电子邮件附件感染计算机。该恶意软件的主要目标是加密目标系统上的所有文件，将 .mallox 扩展名附加到每个文件名，并删除要求支付赎金的注释。该勒索软件有多个版本，勒索字条的名称各不相同。我们分析过的一些示例删除了名为RECOVERY INFORMATION.txt 或 FILE RECOVERY.txt的注释。

为了说明文件在计算机攻击期间如何重命名，请参见以下示例：以前名为 1.jpg、2.png 和 3.docx 的文件将重命名为 1.jpg.mallox、2.png.mallox、3.docx.mallox.

该恶意软件还运行额外的进程来停止各种服务和程序，以便加密与其关联的文件。这个勒索软件的另一个值得注意的细节是它会停止与 GPS 相关的程序，这可能意味着该病毒可能以从事关键基础设施部门工作的组织为目标。

该勒索软件还会窃取有关计算机的信息并将其发送到其命令与控制服务器。该恶意软件的早期版本还声称有一个数据泄露网站，犯罪分子会在该网站上上传受害公司的名称，并威胁如果受害者拒绝支付赎金，就会发布窃取的数据。

赎金记录概述

恢复信息.txt

Mallox 勒索软件的最新样本释放了一个名为 RECOVERY INFORMATION.TXT 的勒索字条，其中包含有关如何从网络犯罪分子那里获取解密工具的信息。该注释指示向提供的电子邮件地址发送电子邮件：[email protected]
或 [email protected]。有趣的是， BOZON ransomware ransom note中也使用了后者的电子邮件。

该说明随后解释说，计算机用户在通过电子邮件与犯罪分子联系时应包括赎金说明中提供的个人 ID 字符串以及一些加密文件。他们承诺对部分文件进行解密，并告知全数据解密服务的价格。但是，该说明提到不应发送任何有价值的文件进行测试解密。

文件恢复.txt

其他 Mallox 勒索软件样本丢弃了FILE RECOVERY.txt文件，其中包含的信息略有不同。与前面的示例不同，此赎金票据要求安装 TOR 浏览器并通过提供的 .onion 网站联系网络犯罪分子。为了登录门户，用户必须指定赎金票据中提供的私钥。

该网站包含一个聊天窗口和信息面板，其中包括客户信息（受害者 ID、文件重量、硬盘大小、博客链接、测试解密状态）、付款详情（解密工具价格、支付金额和日期）最后一笔交易）。最后，还有一个空间可以直接链接到要被网络罪犯解密的文件，同时还有一个文件大小不能超过 3MB 的通知。

我们的研究表明，犯罪分子通常会为 Mallox 文件解密工具索要 1000 美元、2000 美元或更多的钱。如果您已受到此恶意软件的影响，我们强烈建议您使用INTEGO Antivirus等专业软件移除 MALLOX 勒索软件病毒。请随意使用文章下方提供的删除说明作为指导。此外，您可能需要下载RESTORO，这是修复 Windows 操作系统文件病毒损坏的好工具。

MALLOX 勒索软件病毒清除指南

步骤 1. 以带网络连接的安全模式启动 Windows

在尝试删除病毒之前，您必须以带网络连接的安全模式启动计算机。首先，关闭您的电脑。然后按电源按钮再次启动它并立即开始以 1 秒的间隔重复按键盘上的F8按钮。这将启动“高级启动选项”菜单。

1. 使用键盘上的箭头键向下导航到“带网络连接的安全模式”选项，然后按Enter 键。

步骤 2. 删除与病毒相关的文件

现在，您可以搜索并删除 MALLOX 勒索软件病毒文件。很难识别属于勒索软件病毒的文件和注册表项，此外，恶意软件创建者往往会反复重命名和更改它们。因此，卸载此类计算机病毒的最简单方法是使用可靠的恶意软件清除程序。此外，我们建议尝试结合使用INTEGO Antivirus（删除恶意软件并实时保护您的 PC）和RESTORO（修复病毒对 Windows 操作系统文件造成的损坏）

方法二：使用系统还原

1. 关闭您的电脑。按电源按钮再次启动它，并立即开始以 1 秒的间隔重复按键盘上的F8按钮。您将看到高级启动选项菜单。
2. 使用键盘上的箭头键，向下导航到带命令提示符选项的安全模式，然后按Enter 键。

骤 2. 启动系统还原过程

1. 等到系统加载并出现命令提示符。
2. 键入cd restore并按Enter，然后键入rstrui.exe并按Enter。或者您可以在命令提示符中键入%systemroot%system32restorerstrui.exe并按Enter。

1. 这将启动系统还原窗口。单击下一步，然后选择过去创建的系统还原点。选择一个在勒索软件感染之前创建的。

1. 单击系统还原过程。

还原系统后，我们建议使用防病毒或反恶意软件扫描系统。在大多数情况下，不会留下任何恶意软件，但仔细检查也无妨。此外，我们强烈建议您查看我们的专家提供的勒索软件预防指南，以保护您的 PC 将来免受类似病毒的侵害。

END

原文始发于微信公众号（安全圈）：【安全圈】删除 MALLOX 勒索软件病毒（解密 .mallox 文件）