SQL Server 用户应当如何防范 Mallox (.hmallox) 勒索软件袭击

勒索软件领域的特点是随着时间的流逝，参与者群体和恶意软件家族都会大量流失，只有少数参与者表现出相对长寿的寿命。曾经令人担忧的威胁，如 REvil 和 Conti，要么被铲除，要么被解散，而其他威胁——例如 ALPHV、Black Basta 和 LockBit——仍然存在并对企业造成勒索威胁。在后者中，我们还可以添加 Mallox（又名 TargetCompany），这是一种鲜为人知但长期存在的勒索软件威胁，于 2021 年首次出现。如今，该组织继续窃取和泄露源源不断的企业数据。

Mallox 在勒索软件即服务（RaaS）模式下运营，并维护着一个基于 TOR 的泄漏站点，定期发布最近受勒索组织的公告并暴露被盗数据。

该恶意软件利用易受攻击的 SQL Server 进入目标组织网络，获得初始访问权限。Mallox 声称已经感染了全球制造、零售、批发、法律和专业服务等领域的数百家组织。它特别关注 MS-SQL（Microsoft SQL Server）和 ODBC（开放数据库连接）接口。它通常会在其攻击中利用特定漏洞，包括旧远程代码执行（RCE）漏洞的未修补实例，例如 Microsoft SQL Server 中的 CVE-2019-1068 和 Microsoft SQL Server Reporting Services 中的 CVE-2020-0618。

此外，该组织还成功地利用暴力攻击来攻击向公共互联网开放的配置较弱的服务和应用程序。在最近的活动中，Mallox 攻击者通过针对弱 MS-SQL 接口的基于字典的暴力攻击获得了初始访问权限。

然而，研究人员发现，该组织也开始在攻击的后期阶段进行调整，以在目标网络上保持隐蔽存在并隐藏其恶意活动。

如何防御 Mallox 勒索软件

大多数 Mallox 的受害者仍然拥有易受攻击的 SQL Server，这些 SQL Server 正在被攻击者利用来潜入组织的网络。为了解决这个问题，安全团队应该了解修补漏洞，并检查所有可能的攻击面，以确保他们各自的系统不容易受到滥用和利用。

网络拦截的最佳实践以及特定的勒索软件检测和拦截措施也可以提供多层次的方法来减轻这些威胁带来的风险。

此外，还应该遵守所谓的“3-2-1 规则”来备份重要文件，即：在两种不同的文件格式上创建三个备份副本，其中一个副本存储在单独的位置。

鸿萌提供新一代的勒索拦截解决方案

鸿萌提供勒索软件检测和拦截方案，通过五道防线，对企业PC、服务器及虚拟机，提供主动的防勒索袭击策略。

第一道防线：已知勒索病毒防护

勒索拦截系统基于已知勒索行为DNA指纹库，针对文件系统层操作系统层、磁盘读写层进行全方位动态追踪检测，快速检测已知勒索病毒。

第二道防线：未知勒索病毒防护

基于AI智能学习技术，为每个主机建模分析，生成唯一的合法行为DNA特征库，任何非法行为将会触发深度检测及告警，精准识别未知勒索病毒。

第三道防线：勒索诱捕拦截

智能部署诱饵文件，发现勒索病毒即生成“诱饵森林”，通过图遍历算法让诱饵文件的读取加密进入循环，阻塞勒索进场，拦截勒索操作。

第四道防线：响应处置中心

攻击行为实时上报，处置策略一键下发，高危进程、异常文件、感染主机有效隔离等操作，对威胁快速响应处置。

第五道防线：可信安全区

可为文件、应用、磁盘提供可信安全保障，非授权不能读、写、删除、拷离可信安全区，非授权无法调用可信安全区内的API接口。

易备数据备份软件，SQL Server 数据库的备份首选

易备软件提供多种不同功能版本，满足用户的不同备份需要：

基础 PC 版/Server 版：系统及文件备份
数据库版：SQL Server、Oracle、MySQL、PostgreSQL、MariaDB 等主流数据库备份
虚拟机版：VMware vSphere/ESXi、Hyper-V 虚拟机备份
Microsoft 365/Exchange 版：Microsoft 365/Exchange 备份
全功能版

在数据库备份方面，易备数据备份软件支持对 SQL Server、Oracle、MySQL、PostgreSQL、MariaDB、泛微 OA 等数据库进行快速备份，备份过程不会对任何服务造成中断。

使用一份授权，可以备份无限量的数据库，不管数据库服务器是否在本机、本地网络、或是远程网络。可以从网络中的任何一个 Windows 系统中执行数据库的备份任务。软件可以将数据库自动备份到任何目标设备：本地磁盘、NAS、磁带，以及自动通过 FTP、FTPS 和 SFTP 进行传送备份文件，或发送到天翼云、华为云、信服云或 Amazon S3 等云服务。使用本软件可以备份及截断事务日志。