.xollam,mallox勒索病毒家族变种,Ms sql server中毒数据库完整恢复一例


.xollam中毒数据库完整恢复一例





xollam后缀属于mallox家族勒索病毒,mallox家族也叫TargetCompany家族。

因最早被广泛得知的后缀为.mallox,所以大家都习惯叫他mallox家族。


较为常见的中毒文件后缀为:

.consultransom、.mallox、.avast、.bozon、.consultraskey-ID号、.FARGO3等等。


xollam病毒的入侵方式:


勒索病毒的传播具有多种方式,大致会有以下几种入侵方式:

恶意软件传播,漏洞入侵,U盘蠕虫病毒,邮件传播,远程桌面爆破入侵,共享文件入侵等






xollam中毒的数据库情况:


该病毒入侵到目前计算机后会通过Chacha20和AES-128等加密算法对全盘文件进行底层加密,然后把文件后缀改成 .xollam,并留下勒索信文件。




该中毒数据库为客户公司业务系统的数据库,版本为sql2008r2,通过工具打开文件底层,可见文件头部已变为乱码,非正常的MDF文件头部:




转到文件结尾可以看到明显的该家族的加密特征:




xollam中毒数据库恢复:


我司工程师通过对大量实际案例的研究,在特定条件下能百分百恢复该中毒后缀的数据。通过数据库进行编码级恢复,数据库可附加到数据库引擎上,查询也没有问题:



通过软件应用程序调用数据库,查询和开单都没问题,功能正常:




xollam中毒数据库恢复结果:


客户通过远程验证,确认数据库记录恢复完整度100%,不丢失记录,并将数据库应用到生产环境。




关于勒索病毒的预防建议:


1.多台机器,不要使用相同的账号和密码,确保密码的复杂性和定期更换。

2. 关闭不必要的端口,如139、445、3389等端口,降低被漏洞攻击的风险。

3.重要资料的共享文件夹应设置访问权限控制,并使用正大智备进行定期备份。

4.定期检测系统和软件中的安全漏洞,及时打上补丁。

5. 从正规渠道下载安装软件,对不熟悉的软件,不要在生产环境下运行。

6.安装安全防护软件,并确保其正常运行,对敏感业务及其相关数据做好网络隔离。

7.提高安全运维人员职业素养,定期进行木马病毒查杀。

8.如中了勒索病毒,先断网关机,并联系我司进行处理,勿自行操作导致数据二次破坏。