中了后綴.[back2restore@neomailbox.ch].mkp勒索病毒，數據能恢復嗎？

0Lf91數據恢復-數據恢復專家
0Lf91數據恢復-數據恢復專家
 

目錄0Lf91數據恢復-數據恢復專家

前言：簡介0Lf91數據恢復-數據恢復專家

一、什么是.[back2restore@neomailbox.ch].mkp勒索病毒？0Lf91數據恢復-數據恢復專家

二、中了.mkp后綴勒索病毒文件怎么恢復？0Lf91數據恢復-數據恢復專家

三、恢復案例介紹：0Lf91數據恢復-數據恢復專家

四、系統安全防護措施建議：0Lf91數據恢復-數據恢復專家

---

前言：簡介

近日，91數據恢復團隊接到一家公司的求助，這家公司的服務器都因中毒感染.[back2restore@neomailbox.ch].mkp勒索病毒而導致公司業務停擺或停滯，.[back2restore@neomailbox.ch].mkp勒索病毒今年突然升級變種傳播，這個勒索病毒究竟是什么來頭與變化？0Lf91數據恢復-數據恢復專家

如需恢復數據，可添加我們的數據恢復服務號（sjhf91）進行免費檢測與咨詢獲取數據恢復的相關幫助。下面我們來了解看看這個.[back2restore@neomailbox.ch].mkp后綴勒索病毒。0Lf91數據恢復-數據恢復專家

 

一、什么是.[back2restore@neomailbox.ch].mkp勒索病毒？

.mkp是歸類為勒索病毒的一種惡意軟件。它通過加密受感染系統的數據并要求解密工具/軟件付款來進行操作。在加密過程中，所有受影響的文件都會按照以下模式重命名：原始文件名，唯一ID，網絡罪犯的電子郵件地址和“ .mkp擴展名。例如，名為“ 1.jpg ”的文件將顯示為“ 1.jpg.id[XXXXXXX].[back2restore@neomailbox.ch].mkp”，依此類推。0Lf91數據恢復-數據恢復專家

.[back2restore@neomailbox.ch].mkp勒索病毒與大多數勒索病毒一樣，.[back2restore@neomailbox.ch].mkp勒索病毒通過加密阻止對文件的訪問，更改文件名并向受害者提供有關如何恢復其文件的說明。該勒索病毒通過加密文件并在文件名后附加“ .[back2restore@neomailbox.ch].mkp ”擴展名來重命名所有加密文件。0Lf91數據恢復-數據恢復專家

無論采用何種傳播方法，攻擊通常都以相同的方式進行。.[back2restore@neomailbox.ch].mkp勒索病毒會掃描用戶的計算機以定位他們的數據。接下來，數據鎖定木馬將觸發其加密過程。.[back2restore@neomailbox.ch].mkp勒索病毒應用加密算法來安全地鎖定所有目標文件。所有經過.[back2restore@neomailbox.ch].mkp勒索病毒加密過程的文件都將更改其名稱，因為該木馬添加了一個.[back2restore@neomailbox.ch].mkp對其名稱的擴展。正如您從.[back2restore@neomailbox.ch].mkp勒索病毒的擴展中看到的那樣，這種病毒會為每臺機器生成了一個新的唯一 ID。這有助于攻擊者區分已成為其數據鎖定木馬受害者的各種用戶。0Lf91數據恢復-數據恢復專家

.[back2restore@neomailbox.ch].mkp勒索病毒是如何傳播感染的？0Lf91數據恢復-數據恢復專家

經過我們分析中毒后的機器環境判斷，.mkp勒索病毒家族基本上是通過以下幾種方式入侵。0Lf91數據恢復-數據恢復專家

1. RDP/弱口令0Lf91數據恢復-數據恢復專家

遠程桌面協議 (RDP : Remote Desktop Protocol) 主要用于用戶遠程連接并控制計算機，通常使用3389端口進行通信。當用戶輸入正確的用戶密碼，則可以直接對其遠程電腦進行操作，這為攻擊者提供了新的攻擊面。只要擁有正確的憑證，任何人都可以登錄該電腦。故攻擊者可以通過工具對攻擊目標進行端口掃描，如果用戶開啟了3389端口，并且沒有相關的防范意識，使用弱密碼如123456，攻擊者可以進行遠程連接并通過字典嘗試多種方式組合，暴力破解用戶名密碼。一旦擁有登錄權限，就可以直接投放勒索病毒并進一步橫向滲透擴大影響面。0Lf91數據恢復-數據恢復專家

2. 安全漏洞利用0Lf91數據恢復-數據恢復專家

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未被授權的情況下訪問或破壞系統。0Lf91數據恢復-數據恢復專家

漏洞利用與時間息息相關，如果攻擊者利用 0day 進行攻擊，那么相關的系統或者組件是極其危險的。但是在以往的勒索事件中，大多數攻擊者一般采用的成熟的漏洞利用工具進行攻擊，如永恒之藍、 RIG 、 GrandSoft 等漏洞攻擊包等。如果用戶沒有及時修復相關漏洞，很可能遭受攻擊。0Lf91數據恢復-數據恢復專家

在過去的一年里，受疫情影響，很多人開始居家辦公，由于工作方式的轉化促進了遠程辦公工具的興起，進而導致了遠程工具相關漏洞利用攻擊事件的顯著增加，除了傳統的office漏洞（如CVE 2012-0158、CVE 2017-11882等），一些新的漏洞利用攻擊也頻繁出現，如CVE-2019-19781、CVE-2019-11510等。0Lf91數據恢復-數據恢復專家

 

二、中了.mkp后綴勒索病毒文件怎么恢復？

此后綴病毒文件由于加密算法的原因，每臺感染的電腦服務器文件都不一樣，需要獨立檢測與分析加密文件的病毒特征與加密情況，才能確定最適合的恢復方案。0Lf91數據恢復-數據恢復專家

考慮到數據恢復需要的時間、成本、風險等因素，建議如果數據不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統，后續做好系統安全防護工作即可。如果受感染的數據確實有恢復的價值與必要性，可添加我們的技術服務號（sjhf91）進行免費咨詢獲取數據恢復的相關幫助。0Lf91數據恢復-數據恢復專家

 

三、恢復案例介紹：

1. 被加密數據情況0Lf91數據恢復-數據恢復專家

一臺服務器，被加密的文件數據量1.9萬+個，主要是需要恢復業務軟件的數據庫文件。0Lf91數據恢復-數據恢復專家

 0Lf91數據恢復-數據恢復專家

0Lf91數據恢復-數據恢復專家

 0Lf91數據恢復-數據恢復專家

 

0Lf91數據恢復-數據恢復專家

編輯

 0Lf91數據恢復-數據恢復專家

2. 數據恢復完成情況0Lf91數據恢復-數據恢復專家

數據完成恢復，客戶所需的全部文件均已成功恢復，恢復率等于100%。0Lf91數據恢復-數據恢復專家

 0Lf91數據恢復-數據恢復專家

0Lf91數據恢復-數據恢復專家

 0Lf91數據恢復-數據恢復專家

 

0Lf91數據恢復-數據恢復專家

編輯

 0Lf91數據恢復-數據恢復專家

四、系統安全防護措施建議：

預防遠比救援重要，所以為了避免出現此類事件，強烈建議大家日常做好以下防護措施：0Lf91數據恢復-數據恢復專家

1．多臺機器，不要使用相同的賬號和口令，以免出現“一臺淪陷，全網癱瘓”的慘狀；0Lf91數據恢復-數據恢復專家

2．登錄口令要有足夠的長度和復雜性，并定期更換登錄口令；0Lf91數據恢復-數據恢復專家

3．嚴格控制共享文件夾權限，在需要共享數據的部分，盡可能的多采取云協作的方式。0Lf91數據恢復-數據恢復專家

4．及時修補系統漏洞，同時不要忽略各種常用服務的安全補丁。0Lf91數據恢復-數據恢復專家

5．關閉非必要的服務和端口如135、139、445、3389等高危端口。0Lf91數據恢復-數據恢復專家

6．備份備份備份?。?！重要資料一定要定期隔離備份。進行RAID備份、多機異地備份、混合云備份，對于涉及到機密或重要的文件建議選擇多種方式來備份；0Lf91數據恢復-數據恢復專家

7．提高安全意識，不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發送的文件，在點擊或運行前進行安全掃描，盡量從安全可信的渠道下載和安裝軟件；0Lf91數據恢復-數據恢復專家

8．安裝專業的安全防護軟件并確保安全監控正常開啟并運行，及時對安全軟件進行更新。0Lf91數據恢復-數據恢復專家

以下是2022年常見傳播的勒索病毒，表明勒索病毒正在呈現多樣化以及變種迅速地態勢發展。0Lf91數據恢復-數據恢復專家

后綴360勒索病毒,milovski勒索病毒,mallox勒索病毒,faust勒索病毒,FARGO3勒索病毒,lockbit勒索病毒,consultraskey勒索病毒,lockbit3.0勒索病毒,eight勒索病毒,locked勒索病毒,mkp勒索病毒,makop勒索病毒,devos勒索病毒,eking勒索病毒,Globeimposter-Alpha865qqz勒索病毒,nread勒索病毒,.Elibe勒索病毒,devos勒索病毒，.[hudsonL@cock.li].Devos勒索病毒，.[myers@cock.li].Devos勒索病毒0Lf91數據恢復-數據恢復專家