小編的世界優質文選主機

「恢複案例」某公司服務器感染.「ideapad@privatemail.com」.mkp

2021年12月12日 - 主機小編

數據恢複研究發布時間: 2021-12-11 21:01

前言：案例簡介

一、什麼是..mkp勒索病毒？

二、中了.

三、恢複案例介紹：

1. 被加密數據情況

2. 數據恢複完成情況

3. 數據恢複工期

系統安全防護措施建議：

前言：案例簡介

..mkp後綴勒索病毒是國外知名勒索病毒家族的新型傳播病毒，最近我們已經接到不少的企業咨詢與求助，請各企業務必加強防範。

近日，國內某公司服務器中了後綴..mkp勒索病毒，公司的服務器文件全部中毒，所有軟件服務器和文件服務器的文件被全部加密，亟需數據恢複，否則公司設計業務無法運轉，對公司業務影響較大，客戶聯系我們91數據恢複團隊，經我們91數據恢複工程師遠程檢測分析，迅速溝通確定了最快及最高恢複率的數據恢複方案，接著工程師團隊緊急安排通宵達旦爭分奪秒幫助客戶完成恢複數據，文件類數據恢複率99.9%+，數據庫文件100%恢複，最終獲得了客戶高度滿意好評。

一、什麼是..mkp勒索病毒？

..mkp勒索病毒與大多數勒索病毒一樣，..mkp勒索病毒通過加密阻止對文件的訪問，更改文件名並向受害者提供有關如何恢複其文件的說明。該勒索病毒通過加密文件並在文件名後附加“..mkp ”擴展名來重命名所有加密文件。

..mkp勒索病毒以一種或另一種方式進入計算機後，它將更改Windows注冊表，刪除卷影副本，打開/寫入/複制系統文件，產生在後台運行的factura.exe進程，加載各種模塊等。加密數據後，..mkp勒索病毒還與Command＆Control 服務器聯系，為每個受害者發送一個RSA私鑰（解密文件時需要使用它）。最終，該惡意軟件會加密圖片，文檔，數據庫，視頻和其他文件，僅保留系統數據，還有其他一些例外。

一旦在目標系統上執行了..mkp勒索病毒的程序，就會觸發攻擊的第一階段。一旦.nread文件病毒進行了初步的惡意修改，它便可以激活內置的密碼模塊，從而通過該模塊設置數據加密過程的開始。在攻擊的此階段，..mkp病毒會掃描所有系統驅動器以尋找目標文件.

經過我們研究發現，.mkp後綴勒索病毒是原傳播很久的.makop勒索病毒的升級版，與該病毒同類的後綴病毒還有以下各種後綴，都是同一個病毒家族的，我們團隊均可以恢複處理：

..makop

..mkp

..mkp勒索病毒是如何傳播感染的？

經過分析多家公司感染勒索病毒後的機器環境及系統日志判斷，勒索病毒基本上是通過以下幾種方式入侵，請大家可逐一了解並檢查以下防範入侵方式，畢竟事前預防比事後恢複容易的多。

遠程桌面口令爆破

關閉遠程桌面，或者修改默認用戶administrator

共享設置

檢查是否只有共享出去的文件被加密。

第三方賬戶

檢查是否有軟件廠商提供固定密碼的賬戶或安裝該軟件會新增賬戶。包括遠程桌面、數據庫等涉及到口令的軟件。

軟件漏洞

根據系統環境，針對性進行排查，例如常見被攻擊環境Java、通達 OA、致遠 OA 等。查 web 日志、排查域控與設備補丁情況等。

二、中了.

此後綴病毒文件由於加密算法的原因，每台感染的電腦服務器文件都不一樣，需要獨立檢測與分析加密文件的病毒特征與加密情況，才能確定最適合的恢複方案。

考慮到數據恢複需要的時間、成本、風險等因素，建議如果數據不太重要，建議直接全盤掃描殺毒後全盤格式化重裝系統，後續做好系統安全防護工作即可。如果受感染的數據確實有恢複的價值與必要性，可添加我們的技術服務號（shujuxf）進行免費咨詢獲取數據恢複的相關幫助。

三、恢複案例介紹：

1. 被加密數據情況

一台文件服務器，被加密的文件數據量約57萬+個，數據量大約7.5T左右，數據量非常龐大。

2. 數據恢複完成情況

數據完成恢複，57萬多個文件，有370個圖片文件無法恢複，恢複率等於99.99%。恢複完成的文件均可以正常打開及使用。

3. 數據恢複工期

恢複工期：

一台文件服務器，我們團隊在收到客戶當天晚上下單開始通宵執行恢複施工，最終於第二天晚上完成了全部數據的恢複，耗時1天。

系統安全防護措施建議：

1.多台機器，不要使用相同的賬號和口令

2.登錄口令要有足夠的長度和複雜性，並定期更換登錄口令

3.重要資料的共享文件夾應設置訪問權限控制，並進行定期備份

4.定期檢測系統和軟件中的安全漏洞，及時打上補丁。

5.定期到服務器檢查是否存在異常。

6.安裝安全防護軟件，並確保其正常運行。

7.從正規渠道下載安裝軟件。

8.對不熟悉的軟件，如果已經被殺毒軟件攔截查殺，不要添加信任繼續運行。

9.保存良好的備份習慣，盡量做到每日備份，異地備份。

大家在看