Mallox勒索病毒溯源注意

Mallox勒索病毒的攻击TTPs：
虚线框住的部分是实际现场溯源时得不到证据的部分。

为什么powershell不直接下载勒索病毒，要下载个EXE下载器再下载勒索软件？
一、廉价易做的downloader容易被现场处理人员当作病毒，大部分处理人员不具备能力或时间去分析二进制文件。
二、木马托管服务器通过频繁更改不容易被爆破扫描的目录，防止恶意文件被反复下载。
三、勒索的自删除可以保护数据收集服务器的暴露，数据收集服务器可以更加稳定。

193.106.191[.]141这个IP是11月-12月使用的数据收集服务器。在VT上可以关联到一车Mallox勒索病毒样本，如果你家11月-12月中招的话，一定不要忘了看看防火墙日志上有没有通信这个IP。

分析报告
https://blog.cyble.com/2022/12/08/mallox-ransomware-showing-signs-of-increased-activity/