.milovski勒索病毒|勒索病毒解密|勒索病毒恢复|数据库修复

目录

前言：简介

一、什么是.milovski-G-XXXXXXX勒索病毒？

二、中了.milovski-G-XXXXXXXXX后缀勒索病毒文件怎么恢复？

三、系统安全防护措施建议：

前言：简介

近日，91数据恢复技术研究院捕获一起Mallox勒索病毒攻击事件，黑客在成功侵入内网后下发勒索病毒文件，勒索病毒运行后迅速加密数据库文件，在文件名后附加“ .milovski-G-XXXXXX”后缀来重命名所有加密文件，导致文件不可用，影响业务运行，同时还会尝试在内网中横向移动，获取更多设备的权限并进一步扩散。

如果不幸感染了这个勒索病毒，您可添加我们的数据恢复服务号（sjhf91）免费咨询获取数据恢复的相关帮助。

这个.milovski-G-XXXXXXX后缀勒索病毒已经是Mallox勒索病毒家族今年的第十几个升级变种了，同时也是自从今年发现.Mallox勒索病毒至今，短短几个月时间，这个病毒就升级了4代，从consultraskey-F到consultraskey-R到consultraskey-G再到现在最新的.milovski-G后缀，这其中有什么变化呢？经过我们检测研究发现，这个病毒比前面三代的加密占比不同，根据文件的加密时间观察对比，其加密速度也在提升，这将导致数据的恢复难度再一次升级，下面我们来了解看看这个.milovski-G-ID号后缀勒索病毒。

一、什么是.milovski-G-XXXXXXX勒索病毒？

.milovski-G-ID号病毒是一种基于文件勒索病毒代码的加密病毒，隶属于国外知名的Mallox勒索病毒家族。这个病毒已在主动攻击中被发现。

.milovski-G-ID号勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密，并在文件名后附加“ .milovski-G-XXXXXXXXX”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.milovski-G-XXXXXXXXX”，“ 2.jpg ”显示为“ 2.jpg.milovski-G-XXXXXXXXX”。

Mallox 勒索病毒家族最新变种的加载器采用C# 编写，函数名称严重混淆且中间添加了很多垃圾运算指令，这给沙箱自动化分析和人工逆向都带来了不小的困难。

Mallox 勒索病毒最终加密文件使用的是chacha20 算法，chacha20 算法是salsa20 流密码的一种变体，该对称算法可在短时间内加密主机所有文件。

而Mallox勒索病毒的狡猾程度不止于此。调查发现，Mallox家族经历了多个发展阶段，每个阶段都会通过改变一些特征来区分受害者并躲避安全人员的追踪。首先阶段，攻击者在部署Mallox勒索病毒时，会将扩展名命名为被攻击企业的名称或其所属的行业名,如.devicZz，.consultransom，.mallox，.brg，.bozon，.maxoll-ID号，.consultraskey-G-ID号，.elmorenolan29，.bozon3，.FARGO，.FARGO3，.milovski-G等加密后缀名。

.milovski-G-XXXXXXXXX勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，.Mallox勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

二、中了.milovski-G-XXXXXXXXX后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

三、系统安全防护措施建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

①　及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②　尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③　不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④　企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤　数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥　敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦　尽量关闭不必要的文件共享。

⑧　提高安全运维人员职业素养，定期进行木马病毒查杀。

.milovski后缀病毒勒索信RECOVERY INFORMATION !!!.txt说明文件内容：

YOUR FILES ARE ENCRYPTED !!!

TO DECRYPT, FOLLOW THE INSTRUCTIONS:

To recover data you need decrypt tool.

To get the decrypt tool you should:

1.In the letter include your personal ID! Send me this ID in your first email to me!

2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!

3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!

4.We can decrypt few files in quality the evidence that we have the decoder.

5.Your key is only kept for seven days beyond which it will never be decrypted!

6.Do not rename, do not use third-party software or the data will be permanently damaged!

7.Do not run any programs after the computer is encrypted. It may cause program damage!

8.If you delete any encrypted files from the current computer, you may not be able to decrypt them!

CONTACT US:

milovski@tutanota.com

If no response is received within 12 hours contact: milovski@onionmail.org

ID:28092037QYpAde8Md52e3fsd9

与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的：

.devicZz勒索病毒

.consultransom勒索病毒

.mallox勒索病毒

.bozon勒索病毒

.consultraskey-F-XXXXXX

.consultraskey-R-XXXXXX

.consultraskey-G-XXXXXX

.consultraskey勒索病毒

.elmorenolan29勒索病毒

.bozon3勒索病毒

.FARGO勒索病毒

.FARGO勒索病毒

.FARGO2勒索病毒

.FARGO3勒索病毒

.FARGO4勒索病毒

.milovski-G-XXXXXXX

.milovski勒索病毒