引言:根据360安全卫士官方论坛的最新统计数据,本月国内勒索软件受害者设备所中病毒家族中Mallox家族占比22.38%居首位。https://weishi.360.cn/dnzs/12640.html

1. 背景
1.1 前情提要
Mallox家族的加密器是solar团队处理的众多案例中,分析次数最多的家族之一。本次分析的对象是2022年10月时间段的mallox后缀加密器。通过对样本的深入分析,我们捕获到了一些关键线索,这些线索为破解提供了重要思路。在下文中,我们将详细分享这些发现和分析过程,基于本篇思路制作的恢复工具会在下一篇工具分享中进行发布,敬请期待!
1.2 家族介绍
关于Mallox家族信息可参考本篇文章【病毒分析】Mallox勒索家族新版本:加密算法全面解析,详情内容部分可移步solar官网处介绍https://www.solarsecurity.cn/family?id=3

1.3 支持的文件类型
基于本篇文章提到的破解思路,针对Mallox家族的不同版本后缀,可以通过逆向分析获取相关密钥和算法进行恢复:
| mallox版本后缀 | 时间段 | HASH |
|---|---|---|
| .mallox | 2022年10月到2023年3月 | 1f793f973fd906f9736aa483c613b82d5d2d7b0e270c5c903704f9665d9e1185 |
| .xollam | 2023年1月 | 10f96f64659415e46c3f2f823bdb855aab42d0bfced811c9a3b72aea5f22d880 |
| .bitenc | 2023年1月 | a340ef5adb00a2bf1a0735600491ca98ac8045b57db892dedc27575a53b25056 |
| .malox | 2023年4月到2023年7月 | 0427a9f68d2385f7d5ba9e9c8e5c7f1b6e829868ef0a8bc89b2f6dae2f2020c4 |
| .maloxx | 2023年6月 | 03596723ecb5be777b1e3ec5deb414dc78155a30a466b2b25a4574f4db9a568a |
| .malloxx | 2023年8月 | 4e4592a5dec8a0fc12bbd6f955cd01936aa80d7b8d54db5258140a8a1c460c66 |
| .mallab | 2023年9月到2023年10月 | d1969e0ec464e8b09e54ea35fbe181ea391ed3674e0b35b0f6ee92821478e76c |
| .ma1x0 | 2024年2月 | 003ea0712cd31a75f5dfb6a23d2d12ea1e615f7601574ade09b6b61e3b7ed2b0 |
2. 逆向分析
2.1 前置知识
在分析如何破解之前,需要先提前了解一点mallox东西。
mallox家族最为显眼的就是这部分,采用CryptGenRandom函数的方式获取随机数种子,那怕最近的一些变种版本,都是沿用此类函数来进行密钥生成。

在获取到了4个字节的随机数之后,就会将该随机数当做

2万+

被折叠的 条评论
为什么被折叠?



