代码编织梦想

目录

前言:简介

一、什么是.[hopeandhonest@smime.ninja].mkp勒索病毒?

二、中了.[hopeandhonest@smime.ninja].mkp后缀勒索病毒文件怎么恢复?

三、恢复案例介绍:

1. 被加密数据情况

2. 数据恢复完成情况

预防勒索病毒-日常防护建议


前言:简介

        2022年,某企业咨询称遭到勒索病毒攻击,攻击者渗透了其内部网络后,用恶意软件感染了多台服务器。该企业在发现攻击后,立即采取措施加以遏制。经过排查,被感染的机器中的所有文件都被添加了“.[hopeandhonest@smime.ninja].mkp”后缀,并且已无法正常打开,通过后缀可确定该病毒为Makop勒索病毒。

        下面我们来了解看看这个.[hopeandhonest@smime.ninja].mkp后缀勒索病毒。


一、什么是.[hopeandhonest@smime.ninja].mkp勒索病毒?

        .[hopeandhonest@smime.ninja].mkp病毒最初是由国外著名病毒分析师发现的,属于Makop勒索病毒家族。该勒索软件会加密 PC 上的所有用户数据(照片、文档、Excel 表格、音乐、视频等),将其特定扩展名添加到每个文件中,并在每个包含加密文件的文件夹中创建+README-WARNING+.txt文件。

        .[hopeandhonest@smime.ninja].mkp加密后的文件将根据模式进行mkp重命名,该模式位于勒索病毒中。您的照片,以“me.jpg”为例,加密后将更改为“ me.jpg.[87C29B86].[hopeandhonest@smime.ninja].mkp”。

被.[hopeandhonest@smime.ninja].mkp感染的机器,可以通过任务管理器查看是否存在以下病毒进程,如存在,则可将此进程结束。

经过我们研究发现,.mkp后缀勒索病毒是原传播很长时间的.makop勒索病毒的升级版,与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的:

.[coleman.dec@tutanota.com].makop

.[honestandhope@qq.com].makop

.[yourfriendz@secmail.pro].makop

.[helpmakop@cock.li].makop

.[dino@rape.lol].makop

.[daviderichardo@tutanota.com].makop

.[filerecov3ry@keemail.me].makop

.[helpmakop@cock.li].makop

.[manage.file@messagesafe.io].makop

.[Evilminded@privatemail.com].makop

.[decrypt.makop.file@messagesafe.io].makop

.[hopeandhonest@smime.ninja].makop

.[daviderichardo@tutanota.com].makop 

.[Goodhack@privatemail.com].makop

.[ustedesfil@safeswiss.com].makop

.[paybackformistake@qq.com].makop

.[datapro@decoymail.com].makop

.[ideapad@privatemail.com].makop

.[uSuppor@privatemail.com].mkp

.[tSuppor@privatemail.com].mkp

.[eSuppor@privatemail.com].mkp

.[hopeandhonest@smime.ninja].mkp

.[ideapad@privatemail.com].mkp

.[Rheinland01@privatemail.com].mkp

.[Harman@privatemail.com].mkp

.[aLPoint@privatemail.com].mkp

.[kongbang@privatemail.com].mkp

.[hopeandhonest@smime.ninja].mkp勒索病毒是如何传播感染的?

经过分析中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵。

远程桌面口令爆破

    关闭远程桌面,或者修改默认用户administrator。

数据库弱口令攻击

    检查数据库的sa用户的密码复杂度。 


二、中了.[hopeandhonest@smime.ninja].mkp后缀勒索病毒文件怎么恢复?

        此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的恢复方案。


三、恢复案例介绍:

1. 被加密数据情况

一台公司服务器,需要恢复的数据27万个+。

 

2. 数据恢复完成情况

数据完成恢复,27万个文件,全部100%恢复。恢复完成的文件均可以正常打开及使用。

 

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

1、安全规划 网络架构

业务、数据、服务分离,不同部门与区域之间通过 VLAN 和子网分 离,减少因为单点沦陷造成大范围的网络受到攻击。

2、内外网隔离

合理设置 DMZ 区域,对外提供服务的设备要做严格管控。减少企业 被外部攻击的暴露面。对外暴露机器可通过虚拟化部署,定期做快 照备份等方式减少损失。

3、安全设备部署

在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。

4、权限控制

包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。

5、数据备份保护

对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。尽量做到多方式备份。

查看smime.p7m附件_iteye_3854的博客-爱代码爱编程

如果你的邮件客户端不支持S/MIME,那么别人发给你的邮件如果是被加密或者签名过的话,你是无法看到邮件正文的,相反,会有一个比如smime.p7m这样的附件。   查看smime.p7m附件的工具,出名的有p7mViewer(http://www.cryptigo.eu/smime.p7m/ ), 该工具其实是一个类似Outlook Express的邮

asn.1 sequence 结构 esscertid 的演化及其在 rfc 3161 《时间戳协议》标准中的应用_henter的博客-爱代码爱编程

    在 1999 年颁布的 RFC 2634《Enhanced Security Services for S/MIME》中,使用 SigningCertificate 指示校验数字签名时应当使用的证书。SigningCertificate 应当被包含在 ASN.1 结构“签名属性”(即 SignedAttributes,注:在 RFC 5652 CM

packages.xml数据来源分析(二)-爱代码爱编程

零零散散的一些记录点,没有完全贯穿起来,正向逆向推理得出的一些整理思路,仅供参考。 ** 权限读取路径1** systemServer.startBootstrapServices-->SystemServerInitThreadPool.get().submit(SystemConfig::getInstance, TAG_SYSTE

php php_openssl.dll,解析php php_openssl.dll的作用-爱代码爱编程

一.openssl简介 数据加密是信息信息传输中的一个重要组成部分.任何信息都以明文方式传输,确实是个很不安全的做法.所以, 需要对数据进行加密.将明文数据转换为密文数据,再进行传输. OpenSSL是一套用于SSL/TLS协议的加密工具,其作用有: 1.生成私有密钥. 2.生成证书,即数字签名证书,它包含一个公有密钥,可以用来单向的加密和解

php openssl.dll 作用,php php_openssl.dll作用-爱代码爱编程

我们的明文信件内容: $ cat test.txt 111111 222222 333333 444444 aaaaaa 使用证书对明文信件进行加密,输出到etest.txt文件: $ openssl smime -encrypt -in test.txt -out etest.txt mycert-rsa.pem 查看加密后的密文内

公司服务器感染.[tSupport@privatemail.com].mkp新型勒索病毒-爱代码爱编程

案例简介: .[tSupport@privatemail.com].mkp后缀勒索病毒是今年11月开始国外知名的勒索病毒家族的新型传播病毒,自今年11月该病毒爆发以来,我们陆续有接到被该病毒感染加密数据企业咨询与求助,自病毒爆发以来,我们团队也不断研究该病毒的加密数据,发现其是已经传播一年多以来的.makop勒索病毒的升级。如果受感染的数据确实有恢复的价

.[honestandhope@qq.com].makop勒索病毒的用友U8数据库修复案例-爱代码爱编程

案例简介: 数据恢复接到杭州某公司的微信咨询,他们公司的用友U8软件服务器遭遇了勒索病毒.[honestandhope@qq.com].makop后缀的攻击,公司用友业务数据存储的服务器上所有账套数据被加密锁定,包括数据库文件在内的所有文件后缀均被改为.[honestandhope@qq.com].makop后缀,导致目前公司业务无法运行,该公司找到91

【勒索病毒数据恢复】Phobos勒索病毒家族之.[back23@vpn.tg].makop-爱代码爱编程

  目录 前言:案例简介 一、什么是.[back23@vpn.tg].makop勒索病毒? 二、中了.[back23@vpn.tg].makop后缀勒索病毒文件怎么恢复? 三、恢复案例介绍: 1. 被加密数据情况 2. 数据恢复完成情况 预防勒索病毒-日常防护建议: 前言:案例简介         2022年,某企业咨询称遭到勒索软件攻

【恢复案例】国内某公司服务器感染.[ideapad@privatemail.com].mkp新型勒索病毒-爱代码爱编程

目录 前言:案例简介 一、什么是.[ideapad@privatemail.com].mkp勒索病毒? 二、中了.[ideapad@privatemail.com 后缀勒索病毒文件怎么恢复? 三、恢复案例介绍: 1. 被加密数据情况 2. 数据恢复完成情况 3. 数据恢复工期 系统安全防护措施建议: 前言:案例简介         .[

分析后缀makop勒索病毒makop类型病毒文件处理-爱代码爱编程

makop勒索病毒家族的病毒大部分都是以.makop后缀形式提现感染文件,中这种病毒的电脑基本上所有的文件都会被病毒加密,并且附加后缀文件扩展名为.makop。带有这种后缀的文件即为病毒加密后的文件。此种文件是没办法正常使用的,就算杀毒或重装系统文件也是不能正常打开的,因为原文件内容已经被算法篡改。最为常见的整个后缀有: [back23@vpn.tg].