服务器中勒索病毒了hmallox

郭嘉的不要抢

-2024-6-24更新 ----------------------------------------------------

具体是这样 用友软件漏洞被黑客利用，两条攻击记录就是火绒拦截的记录，坚持了大概4天，后面火绒被添加了映像劫持，功能全部失效，最终被勒索病毒得逞。
非对称加密，无解！只能平时做好防护，最最重要的是做好备份。

火绒的建议：
财务软件进行升级,防止后续再次被攻击.
增强密码策略(使用随机密码)，不要对外网直接映射1433、3389等高危端口，防止暴力破解。定期更换主机等密码。
重要的数据文件资料设置相应的访问权限，关闭不必要的文件共享功能并且定期进行非本地备份。
定期到服务器检查是否存在异常。
    查看范围包括：
        a) 是否有新增账户
        b) Guest是否被启用
        c) Windows系统日志是否存在异常
        d) 杀毒软件是否存在异常拦截情况

-2024-6-21 ----------------------------------------------------

服务器中勒索病毒了，加密文件后缀为.hmallox
请大佬们指点,看看有无办法解决。
另外我能否从加密的服务器内恢复我之前删除过的文件，若是能恢复文件，也能间接解决这个问题。

乘风归去

淘宝上面能解密的都是代缴赎金，赚差价的。做好备份吧，我现在都是每天自动上传到网盘备份，本地备份没用，一中病毒全部加密

郭嘉的不要抢

前几天看火绒的日志，发现有两条攻击记录，然后查看全部记录，还是只有这两条，心想，这网络攻击太多了，之前的记录大概是被删了吧，也没刻意上心，然后过了4天，系统被攻破。

具体是这样 用友软件漏洞被黑客利用，两条攻击记录就是火绒拦截的记录，坚持了大概4天，后面火绒被添加了映像劫持，功能全部失效，最终被勒索病毒得逞。

火绒的建议：
财务软件进行升级,防止后续再次被攻击.
增强密码策略(使用随机密码)，不要对外网直接映射1433、3389等高危端口，防止暴力破解。定期更换主机等密码。
重要的数据文件资料设置相应的访问权限，关闭不必要的文件共享功能并且定期进行非本地备份。
定期到服务器检查是否存在异常。
    查看范围包括：
        a) 是否有新增账户
        b) Guest是否被启用
        c) Windows系统日志是否存在异常
        d) 杀毒软件是否存在异常拦截情况

anwen

郭嘉的不要抢 发表于 2024-6-21 17:44
你的恢复成功了吗

说个题外话，
QAQ 这个91数据恢复  在上个帖子中也有人提到了

服务器中勒索病毒了，请大佬们指点
https://www.52pojie.cn/thread-1932452-1-1.html
(出处: 吾爱破解论坛)

https://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=1932452&pid=50545990

上个帖子楼主求助后 我在搜索引擎搜了下好几个不同网站都一样的内容在 哈哈... 买的广告位置还挺多

qaWEFs3

没用的。我就中了，无解

fengjicheng

加密程序试试看能否找到，能找到的话，可以找大佬逆向一波。如果有以前的备份删掉的话，可以试试Hetman Partition Recovery  扫一下，不一定有救。

youshen87

我服务也中毒了  mallox
服务器报废了~~~~

yjkiw

公司服务器也中过，有备份，重装了。

RoyPenn

可否说下，怎么中的，也好让大家避避雷啊

ZhjhJZ

怎么这么多中招的？！每年都搞HW行动，漏洞还是堵不住

梦中之梦

没有的，重装吧，找之前的备份

bbs119

ZhjhJZ 发表于 2024-6-21 16:26
怎么这么多中招的？！每年都搞HW行动，漏洞还是堵不住

HW只能降低中招概率，不等于HW的漏洞都修复了就不会中招

JuncoJet

虚拟机的话检查有没有快照
物理机的话检查有没有卷影备份
都没有，那么看看硬盘是否有RAID，
有一定几率从没有同步完全的数据中恢复
如果RAID也没有，直接重装系统吧
数据没法要了