【数据库修复】Mallox勒索病毒家族的数据库文件可100%修复

 

目录

前言：简介

一、Mallox勒索病毒家族的.consultransom后缀勒索病毒是什么？

二、中了.consultransom后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据库情况：

2. 数据库修复完成情况

---

前言：简介

      近日接到长沙某公司的来电咨询，他们公司的服务器遭遇了.consultransom勒索病毒后缀的攻击，经过分析，.consultransom勒索病毒属于Mallox病毒家族，公司数据存储的服务器上所有数据被加密锁定，包括数据库文件在内的所有文件后缀均被改为.consultransom后缀，导致目前公司业务无法运行，该公司希望可以帮忙恢复6个软件数据库的mdf文件，不需要恢复其它文件。

---

一、Mallox勒索病毒家族的.consultransom后缀勒索病毒是什么？

        我们发现，.consultransom 是一个勒索病毒类型程序的名称。当我们在我们的测试系统上启动一个样本时，它会加密文件并在文件名后附加“ .consultransom ”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.jpg.consultransom ”，“ 2.jpg ”显示为“ 2.jpg.consultransom ”，依此类推。加密过程完成后，此勒索软件会在桌面上创建一个勒索记录 - “RECOVERY INFORMATION.txt ”。

不幸的是，如果存储您宝贵信息的文件被锁定并使用“.consultransom ”扩展名重命名，您应该知道您的 PC 感染了一种 Mallox家族 勒索病毒。

与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的，我们团队均可以恢复处理：

.devicZz

.consultransom

.mallox

.avast

.explus

.carone

.exploit

.architek

.brg

.herrco

.artiis

.bozon

---

二、中了.consultransom后缀勒索病毒文件怎么恢复？

        因为数据库文件一般都比较大，所以这个Mallox病毒家族旗下的勒索病毒的加密程序会采取部分块状方式加密，所以数据库文件是可通过数据修复的方法进行恢复。

        所以感染了这个Mallox勒索病毒家族旗下所以后缀的数据库文件可以通过技术手段单独修复，修复率还比较高，可以达到100%，修复费用也远比交赎金低，但是这也是需要修复技术团队具备过硬的专业实力才可以达到的水准，否则容易导致数据库文件二次损坏。

也就是说这个勒索病毒的数据库加密文件，mdf、bak、dbf、dmp之类数据库的修复率可以无损修复，建议不要放弃。

---

三、恢复案例介绍：

1. 被加密数据库情况：

6个软件mdf数据库文件，sql数据库，数据库总大小约2G左右。

 

2. 数据库修复完成情况：

6个数据库修复完成，数据修复率100%，没有丢失数据。

 

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1、安全规划 网络架构

业务、数据、服务分离，不同部门与区域之间通过 VLAN 和子网分 离，减少因为单点沦陷造成大范围的网络受到攻击。

2、内外网隔离

合理设置 DMZ 区域，对外提供服务的设备要做严格管控。减少企业 被外部攻击的暴露面。对外暴露机器可通过虚拟化部署，定期做快 照备份等方式减少损失。

3、安全设备部署

在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况。

4、权限控制

包括业务流程权限与人员账户权限都应该做好控制，如控制共享网络权限，原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。

5、数据备份保护

对关键数据和业务系统做备份，如离线备份，异地备份，云备份等，避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。尽量做到多方式备份。