目录
前言:案例简介
一、什么是.[[email protected]].mkp勒索病毒?
二、中了.[[email protected]].mkp后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
1. 被加密数据情况
2. 数据恢复完成情况
3. 恢复工期
预防勒索病毒-日常防护建议:
.[[email protected]].mkp后缀勒索病毒是今年1月国外知名的勒索病毒家族开始传播的新型变种病毒,自今年1月该病毒爆发以来,我们陆续有接到被该病毒感染加密数据企业咨询与求助,自病毒爆发以来,我们团队也不断研究该病毒的加密数据,发现其是已经传播一年多以来的.makop勒索病毒的升级。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。接下来我们先来了解下.[[email protected]].mkp勒索病毒。
.[[email protected]].mkp病毒是一种基于文件勒索病毒代码的加密病毒。这种威胁已在主动攻击中发现。有多种分发技术可用于在目标操作系统上传送恶意文件,例如远程桌面爆破、垃圾邮件、损坏的软件安装程序、torrent 文件、虚假软件更新通知和被黑网站。
.[[email protected]].mkp勒索软件以某种方式进入计算机后,会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。
.[[email protected]].mkp勒索病毒将扫描您的计算机以查找图像、视频以及重要的生产力文档和文件,例如 .doc、.docx、.xls、.pdf。当检测到这些文件时,勒索软件会对它们进行加密并将其扩展名更改为“[XXXXXX].[[email protected]].mkp”,这样您就无法再打开它们。
但是因为数据库文件一般都比较大,所以这个勒索病毒的加密程序会采取部分块状方式加密,所以数据库文件是有机会通过数据修复的方法进行恢复。
所以感染了这个勒索病毒的数据库文件可以通过技术手段单独修复,修复率还比较高,修复技术水平高的可以达到95%以上,甚至100%,修复费用也远比交赎金低,但是这也是需要修复技术团队具备过硬的专业实力才可以达到的水准,否则容易导致数据库文件二次损坏。
万一不幸感染了这个勒索病毒,您可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。
经过我们研究发现,.mkp后缀勒索病毒是原传播很长时间的.makop勒索病毒的升级版,与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的,我们团队均可以恢复处理:
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].makop
.[[email protected]].mkp
.[[email protected]].mkp
.[[email protected]].mkp
.[[email protected]].mkp
.[[email protected]].mkp
.[[email protected]].mkp勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
远程桌面口令爆破
关闭远程桌面,或者修改默认用户administrator
共享设置
检查是否只有共享出去的文件被加密。
软件漏洞
根据系统环境,针对性进行排查,例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。
此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可关注数据恢复服务号(shujuxf)发送加密的样本文件进行免费检测与咨询获取数据恢复的相关帮助。
一台服务器,被加密的文件数据量约8万+个,数据量大约120G左右。
数据完成恢复,8万多个文件,全部文件均已恢复,恢复率等于100%。恢复完成的文件均可以正常打开及使用。
一台服务器,我们团队在收到客户当天下单开始连续通宵执行恢复施工,最终于第三天上午完成了全部数据的恢复,耗时两天。
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。