【数据恢复】服务器感染.[hopeandhonest@smime.ninja].mkp数据恢复-爱代码爱编程
目录
一、什么是.[hopeandhonest@smime.ninja].mkp勒索病毒?
二、中了.[hopeandhonest@smime.ninja].mkp后缀勒索病毒文件怎么恢复?
前言:简介
2022年,某企业咨询称遭到勒索病毒攻击,攻击者渗透了其内部网络后,用恶意软件感染了多台服务器。该企业在发现攻击后,立即采取措施加以遏制。经过排查,被感染的机器中的所有文件都被添加了“.[hopeandhonest@smime.ninja].mkp”后缀,并且已无法正常打开,通过后缀可确定该病毒为Makop勒索病毒。
下面我们来了解看看这个.[hopeandhonest@smime.ninja].mkp后缀勒索病毒。
一、什么是.[hopeandhonest@smime.ninja].mkp勒索病毒?
.[hopeandhonest@smime.ninja].mkp病毒最初是由国外著名病毒分析师发现的,属于Makop勒索病毒家族。该勒索软件会加密 PC 上的所有用户数据(照片、文档、Excel 表格、音乐、视频等),将其特定扩展名添加到每个文件中,并在每个包含加密文件的文件夹中创建+README-WARNING+.txt文件。
.[hopeandhonest@smime.ninja].mkp加密后的文件将根据模式进行mkp重命名,该模式位于勒索病毒中。您的照片,以“me.jpg”为例,加密后将更改为“ me.jpg.[87C29B86].[hopeandhonest@smime.ninja].mkp”。
被.[hopeandhonest@smime.ninja].mkp感染的机器,可以通过任务管理器查看是否存在以下病毒进程,如存在,则可将此进程结束。
经过我们研究发现,.mkp后缀勒索病毒是原传播很长时间的.makop勒索病毒的升级版,与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的:
.[coleman.dec@tutanota.com].makop
.[honestandhope@qq.com].makop
.[yourfriendz@secmail.pro].makop
.[helpmakop@cock.li].makop
.[dino@rape.lol].makop
.[daviderichardo@tutanota.com].makop
.[filerecov3ry@keemail.me].makop
.[helpmakop@cock.li].makop
.[manage.file@messagesafe.io].makop
.[Evilminded@privatemail.com].makop
.[decrypt.makop.file@messagesafe.io].makop
.[hopeandhonest@smime.ninja].makop
.[daviderichardo@tutanota.com].makop
.[Goodhack@privatemail.com].makop
.[ustedesfil@safeswiss.com].makop
.[paybackformistake@qq.com].makop
.[datapro@decoymail.com].makop
.[ideapad@privatemail.com].makop
.[uSuppor@privatemail.com].mkp
.[tSuppor@privatemail.com].mkp
.[eSuppor@privatemail.com].mkp
.[hopeandhonest@smime.ninja].mkp
.[ideapad@privatemail.com].mkp
.[Rheinland01@privatemail.com].mkp
.[Harman@privatemail.com].mkp
.[aLPoint@privatemail.com].mkp
.[kongbang@privatemail.com].mkp
.[hopeandhonest@smime.ninja].mkp勒索病毒是如何传播感染的?
经过分析中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵。
远程桌面口令爆破
关闭远程桌面,或者修改默认用户administrator。
数据库弱口令攻击
检查数据库的sa用户的密码复杂度。
二、中了.[hopeandhonest@smime.ninja].mkp后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的恢复方案。
三、恢复案例介绍:
1. 被加密数据情况
一台公司服务器,需要恢复的数据27万个+。
2. 数据恢复完成情况
数据完成恢复,27万个文件,全部100%恢复。恢复完成的文件均可以正常打开及使用。
预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1、安全规划 网络架构
业务、数据、服务分离,不同部门与区域之间通过 VLAN 和子网分 离,减少因为单点沦陷造成大范围的网络受到攻击。
2、内外网隔离
合理设置 DMZ 区域,对外提供服务的设备要做严格管控。减少企业 被外部攻击的暴露面。对外暴露机器可通过虚拟化部署,定期做快 照备份等方式减少损失。
3、安全设备部署
在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
4、权限控制
包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
5、数据备份保护
对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。尽量做到多方式备份。