中了后缀.[back2restore@neomailbox.ch].mkp勒索病毒,数据能恢复吗?
- 客户名称:国内某公司
- 售前服务顾问:吴顾问
- 恢复工程师:何工
- 恢复工期:2天
- 恢复范围:一台服务器
- 恢复率:100%
近日,91数据恢复团队接到一家公司的求助,这家公司的服务器都因中毒感染.[back2restore@neomailbox.ch].mkp勒索病毒而导致公司业务停摆或停滞,.[back2restore@neomailbox.ch].mkp勒索病毒今年突然升级变种传播,这个勒索病毒究竟是什么来头与变化?
如需恢复数据,可添加我们的数据恢复服务号(sjhf91)进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个.[back2restore@neomailbox.ch].mkp后缀勒索病毒。
中了后缀.[back2restore@neomailbox.ch].mkp勒索病毒,数据能恢复吗?
![中了后缀.[back2restore@neomailbox.ch].mkp勒索病毒,数据能恢复吗?](/96kaifa/images/case/caseimgbg.png)
案例简介:
近日,91数据恢复团队接到一家公司的求助,这家公司的服务器都因中毒感染.[back2restore@neomailbox.ch].mkp勒索病毒而导致公司业务停摆或停滞,.[back2restore@neomailbox.ch].mkp勒索病毒今年突然升级变种传播,这个勒索病毒究竟是什么来头与变化?
如需恢复数据,可添加我们的数据恢复服务号(sjhf91)进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个.[back2restore@neomailbox.ch].mkp后缀勒索病毒。
目录
前言:简介
一、什么是.[back2restore@neomailbox.ch].mkp勒索病毒?
二、中了.mkp后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
四、系统安全防护措施建议:
前言:简介
近日,91数据恢复团队接到一家公司的求助,这家公司的服务器都因中毒感染.[back2restore@neomailbox.ch].mkp勒索病毒而导致公司业务停摆或停滞,.[back2restore@neomailbox.ch].mkp勒索病毒今年突然升级变种传播,这个勒索病毒究竟是什么来头与变化?
如需恢复数据,可添加我们的数据恢复服务号(sjhf91)进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个.[back2restore@neomailbox.ch].mkp后缀勒索病毒。
一、什么是.[back2restore@neomailbox.ch].mkp勒索病毒?
.mkp是归类为勒索病毒的一种恶意软件。它通过加密受感染系统的数据并要求解密工具/软件付款来进行操作。在加密过程中,所有受影响的文件都会按照以下模式重命名:原始文件名,唯一ID,网络罪犯的电子邮件地址和“ .mkp扩展名。例如,名为“ 1.jpg ”的文件将显示为“ 1.jpg.id[XXXXXXX].[back2restore@neomailbox.ch].mkp”,依此类推。
.[back2restore@neomailbox.ch].mkp勒索病毒与大多数勒索病毒一样,.[back2restore@neomailbox.ch].mkp勒索病毒通过加密阻止对文件的访问,更改文件名并向受害者提供有关如何恢复其文件的说明。该勒索病毒通过加密文件并在文件名后附加“ .[back2restore@neomailbox.ch].mkp ”扩展名来重命名所有加密文件。
无论采用何种传播方法,攻击通常都以相同的方式进行。.[back2restore@neomailbox.ch].mkp勒索病毒会扫描用户的计算机以定位他们的数据。接下来,数据锁定木马将触发其加密过程。.[back2restore@neomailbox.ch].mkp勒索病毒应用加密算法来安全地锁定所有目标文件。所有经过.[back2restore@neomailbox.ch].mkp勒索病毒加密过程的文件都将更改其名称,因为该木马添加了一个.[back2restore@neomailbox.ch].mkp对其名称的扩展。正如您从.[back2restore@neomailbox.ch].mkp勒索病毒的扩展中看到的那样,这种病毒会为每台机器生成了一个新的唯一 ID。这有助于攻击者区分已成为其数据锁定木马受害者的各种用户。
.[back2restore@neomailbox.ch].mkp勒索病毒是如何传播感染的?
经过我们分析中毒后的机器环境判断,.mkp勒索病毒家族基本上是通过以下几种方式入侵。
1. RDP/弱口令
远程桌面协议 (RDP : Remote Desktop Protocol) 主要用于用户远程连接并控制计算机,通常使用3389端口进行通信。当用户输入正确的用户密码,则可以直接对其远程电脑进行操作,这为攻击者提供了新的攻击面。只要拥有正确的凭证,任何人都可以登录该电脑。故攻击者可以通过工具对攻击目标进行端口扫描,如果用户开启了3389端口,并且没有相关的防范意识,使用弱密码如123456,攻击者可以进行远程连接并通过字典尝试多种方式组合,暴力破解用户名密码。一旦拥有登录权限,就可以直接投放勒索病毒并进一步横向渗透扩大影响面。
2. 安全漏洞利用
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未被授权的情况下访问或破坏系统。
漏洞利用与时间息息相关,如果攻击者利用 0day 进行攻击,那么相关的系统或者组件是极其危险的。但是在以往的勒索事件中,大多数攻击者一般采用的成熟的漏洞利用工具进行攻击,如永恒之蓝、 RIG 、 GrandSoft 等漏洞攻击包等。如果用户没有及时修复相关漏洞,很可能遭受攻击。
在过去的一年里,受疫情影响,很多人开始居家办公,由于工作方式的转化促进了远程办公工具的兴起,进而导致了远程工具相关漏洞利用攻击事件的显著增加,除了传统的office漏洞(如CVE 2012-0158、CVE 2017-11882等),一些新的漏洞利用攻击也频繁出现,如CVE-2019-19781、CVE-2019-11510等。
二、中了.mkp后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍:
1. 被加密数据情况
一台服务器,被加密的文件数据量1.9万+个,主要是需要恢复业务软件的数据库文件。
2. 数据恢复完成情况
数据完成恢复,客户所需的全部文件均已成功恢复,恢复率等于100%。
四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
以下是2022年常见传播的勒索病毒,表明勒索病毒正在呈现多样化以及变种迅速地态势发展。
后缀360勒索病毒,milovski勒索病毒,mallox勒索病毒,faust勒索病毒,FARGO3勒索病毒,lockbit勒索病毒,consultraskey勒索病毒,lockbit3.0勒索病毒,eight勒索病毒,locked勒索病毒,mkp勒索病毒,makop勒索病毒,devos勒索病毒,eking勒索病毒,Globeimposter-Alpha865qqz勒索病毒,nread勒索病毒,.Elibe勒索病毒,devos勒索病毒,.[hudsonL@cock.li].Devos勒索病毒,.[myers@cock.li].Devos勒索病毒
