mallox勒索软件溯源反制思路

文章预览

概述 近期又遇到了几起windows下的mallox勒索的事件，攻击者都是通过MS-SQL攻击进来的，各位注意一下不要再把不必要的MS-SQL开放在公网上了。 同时有国外公司在这几天捕获到mallox勒索软件在Linux下的变体以及一个web_server.py文件，而且在溯源其资产时发现了对应的解密程序，这些解密程序的运行仍然需要key和build ID。 通过分析泄露的panel源码也就是捕获到的web_server.py，我们可以拓出更多的线索。 技术分析 web_server.py文件是勒索攻击者使用的 基于 Flask 的 Mallox 勒索软件 web 面板，可用于为Linux系统创建快速且可定制的勒索软件 。该脚本使用环境变量连接到后端数据库以获取数据库凭据。它包括用户认证、构建管理和管理员功能的路由，支持新用户注册、登录、密码重置和 勒索软件 构建创建、管理和下载。管理员可以管理用户、查看日志和执行账户操 ………………………………