【勒索病毒数据恢复】Phobos勒索病毒家族之.[back23@vpn.tg].makop

已于 2022-04-13 00:23:00 修改
阅读量3.4k 收藏 3
点赞数
分类专栏: 数据恢复 勒索病毒数据恢复 勒索病毒 文章标签: 勒索病毒数据恢复 勒索病毒数据解密 勒索病毒科普 数据安全 反勒索病毒
于 2022-03-24 21:05:31 首次发布
本文链接:https://blog.csdn.net/tel17665780226/article/details/123721551
版权

目录

前言:案例简介

一、什么是.[back23@vpn.tg].makop勒索病毒?

二、中了.[back23@vpn.tg].makop后缀勒索病毒文件怎么恢复?

三、恢复案例介绍:

1. 被加密数据情况

2. 数据恢复完成情况

预防勒索病毒-日常防护建议:

前言:案例简介

        2022年,某企业咨询称遭到勒索软件攻击,攻击者渗透了其内部网络后,用恶意软件感染了多台服务器。该企业在发现攻击后,立即采取措施加以遏制。经过排查,被感染的机器中的所有文件都被添加了“.[back23@vpn.tg].makop”后缀,并且已无法正常打开,通过后缀可确定该病毒为Makop勒索病毒。

        下面我们来了解看看这个.[back23@vpn.tg].makop后缀勒索病毒。

一、什么是.[back23@vpn.tg].makop勒索病毒?

 

        不幸的是,如果存储您宝贵信息的文件被锁定并使用“.[back23@vpn.tg].makop”扩展名重命名,您应该知道您的 PC 感染了一种 Phobos 勒索病毒。

        Phobos 勒索病毒家族背后的攻击者似乎使用“ .makop ”扩展名来迷惑受害者。此勒索软件如何重命名文件的示例:它将“ 1.jpg ”更改为“ 1.jpg.id[9ECFA84E-3009].[back23@vpn.tg].makop ”,“ 2.jpg ”更改为“ 2.jpg .id[9ECFA84E-3009].[back23@vpn.tg].makop “。所有数据和文件被加密后均无法正常打开。

经过研究发现,.mkp后缀勒索病毒是原传播很长时间的.makop勒索病毒的升级版,与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的:

.[coleman.dec@tutanota.com].makop

.[honestandhope@qq.com].makop

.[yourfriendz@secmail.pro].makop

.[helpmakop@cock.li].makop

.[dino@rape.lol].makop

.[daviderichardo@tutanota.com].makop

.[filerecov3ry@keemail.me].makop

.[helpmakop@cock.li].makop

.[manage.file@messagesafe.io].makop

.[Evilminded@privatemail.com].makop

.[decrypt.makop.file@messagesafe.io].makop

.[hopeandhonest@smime.ninja].makop

.[daviderichardo@tutanota.com].makop 

.[Goodhack@privatemail.com].makop

.[ustedesfil@safeswiss.com].makop

.[paybackformistake@qq.com].makop

.[datapro@decoymail.com].makop

.[ideapad@privatemail.com].makop

.[uSuppor@privatemail.com].mkp

.[tSuppor@privatemail.com].mkp

.[eSuppor@privatemail.com].mkp

.[hopeandhonest@smime.ninja].mkp

.[ideapad@privatemail.com].mkp

[Rheinland01@privatemail.com].mkp

.[back23@vpn.tg].makop

.[hopeandhonest@smime.ninja].mkp

.[hopeandhonestt@gmail.com].mkp

.[back23@vpn.tg].makop勒索病毒是如何传播感染的?

经过分析中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵。

远程桌面口令爆破

    关闭远程桌面,或者修改默认用户administrator。

数据库弱口令攻击

    检查数据库的sa用户的密码复杂度。 

二、中了.[back23@vpn.tg].makop后缀勒索病毒文件怎么恢复?

此后缀病毒文件由于加密算法问题,每台感染的电脑服务器文件都不一样,需要独立检测与分析中毒文件的病毒特征与加密情况,才能确定最适合的恢复方案。

三、恢复案例介绍:

1. 被加密数据情况

一台公司服务器,需要恢复的数据603万个+,数据量比较庞大。

 

2. 数据恢复完成情况

数据完成恢复,603万个文件,全部100%恢复。恢复完成的文件均可以正常打开及使用。

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

1、安全规划 网络架构

业务、数据、服务分离,不同部门与区域之间通过 VLAN 和子网分 离,减少因为单点沦陷造成大范围的网络受到攻击。

2、内外网隔离

合理设置 DMZ 区域,对外提供服务的设备要做严格管控。减少企业 被外部攻击的暴露面。对外暴露机器可通过虚拟化部署,定期做快 照备份等方式减少损失。

3、安全设备部署

在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。

4、权限控制

包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。

5、数据备份保护

对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。尽量做到多方式备份。

91数据恢复工程师
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Phobos家族后缀.actin勒索病毒变体详细说明,删除后缀.actin勒索病毒并尝试恢复文件
06-05 4930
什么是.actin?什么是后缀.actin勒索病毒病毒?如何删除Phobos.actin勒索病毒并尝试恢复.actin加密文件? 最近检测到了Phobos勒索病毒的新变种使用.actin文件扩展名。Phobos勒索软件与Dharma赎金变种非常相似。它的主要目标是加密计算机上的文件,在此过程中添加.actin扩展名并使其无法打开,直到您向犯罪分子支付赎金费用。该病毒还发布了类似于旧的Dharma...
勒索预警,一大波新型勒索病毒解密工具
pandazhengzheng的博客
03-12 2195
勒索预警,一大波新型勒索病毒解密工具
【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2401_83062893的博客
03-19 1220
solar团队数年深耕勒索解密数据恢复领域,在勒索解密数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
勒索病毒解密工具
12-18
勒索病毒解密工具,国外的软件。直接可以解密勒索病毒加密后的文件
【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2401_83062893的博客
02-23 1081
以上就是今天所要分享的全部的内容,本文介绍了本团队成功解决某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目的总结分享。
.phobos后缀勒索病毒处理方案 用友数据库mdf ldf恢复成功
weixin_34257076的博客
05-02 855
中了.phobos勒索病毒怎么处理呢?这种病毒是今年以来最流行的勒索病毒之一,同样采用的RSA非对称加密算法,每一台电脑的公私钥,算法都是不同的。陕西某企业中了后缀是.phobos勒索病毒,公司内服务器全部中招,联系我们后,2天内全部恢复成功,公司内领导特电话联系致谢!安全建议:1、服务器暂时关闭不必要的端口(如135、139、445)2、下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞...
GANDCRAB V5.1 新版本勒索病毒数据恢复方案
weixin_33675507的博客
01-26 207
北京时间1月24日凌晨,安全厂商监测到大批未打补丁的Weblogic服务端再次遭到漏洞***。***者***服务器之后,通过合法应用程序Certutil.exe做跳板(Living off the Land技术),从***服务器上下载勒索病毒GandCrab v5.1并在受害服务器上执行。该勒索病毒会加密受害机器上超过400种类型的数据文件勒索1500美元。图1***者使用合法应用程序Certu...
恢复后缀phobos勒索病毒 解密成功 百分百恢复sql文件
weixin_34405557的博客
03-03 964
phobos后缀勒索病毒已经在网络上肆虐已久,最近发现又出现了加强版本,请大家注意增强防御,防患于未然。南京一物流公司中了后缀是phobos勒索病毒,公司内两台服务器全部中招,导致所有数据调用不出来,客户信息被锁,极大的妨碍工作的进行,造成严重损失。找到我们后,两天内全部恢复,百分百解密成功。为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1、不要打开陌生人或来历不明的邮件,防止...
windows勒索病毒专杀工具:一键修复 彻底查杀
05-22
阿里云建议,在勒索病毒“中招后”,不要马上关闭、重启操作系统,也不要去手工查杀病毒,直接使用该修复工具尝试恢复数据。 一、适用范围 该工具适用于云上、云下Windows服务器操作系统用户。 操作系统版本包括:...
卡巴斯基最新勒索病毒解密工具
09-30
卡巴斯基最新勒索病毒解密工具,直接可以解密勒索病毒加密后的文件
Phobos勒索专杀工具
04-26
Phobos勒索专杀工具是一款专门针对名为Phobos勒索病毒设计的安全软件。Phobos勒索病毒是一种恶意软件,它通过加密用户的文件并要求支付赎金来解锁,对个人和企业的数据安全构成了严重威胁。这款专杀工具的出现,...
处理eking.Devos勒索病毒防范解密恢复操作攻略
m0_71861838的博客
08-08 2616
eking.Devos勒索病毒防范解密恢复操作攻略;什么是勒索病毒?怎么感染的病毒?怎么防范?怎么恢复中毒文件
btc勒索病毒文件恢复数据恢复方案
weixin_33805992的博客
01-21 2033
BTC勒索软件病毒是一种网络威胁,可锁定用户数据,这种病毒最初是在2016年底发现的。它也被称为BTCLocker勒索软件,来自同一家族的旧Radamant勒索软件。然而,由于名称与Dharma勒索软件所使用的名称相匹配,因此在文件扩展名中具有各种类似版本的BTC,因此存在其他关联。 在这种情况下,加密病毒附加.id-[victim's_ID].[btc@fros.cc].btc文件扩展名。上网...
中了勒索病毒,该如何恢复数据
Uguardsec的博客
05-26 2065
一、什么是勒索病毒勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。 勒索病毒也被称为勒索软件,通常的运作模式是进入系统后对系统内数据进行加密,直接导致系统中数据无法正常使用,并要求在指定期限内支付赎金。赎金通常会要求以比特币等加密货币的形式支付。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 该类型病毒的目标性强,主要以邮件为传播方式。勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥
勒索后之数据文件恢复
dayouzi的博客
08-08 1329
近来应急会有遭遇勒索的情况,但针对不同的勒索家族勒索加密的方式也不一样,针对只加密文件前几个字节的情况,还是存在挽回部分数据数据的可能。本文旨在整理一些恢复遭受损坏数据文件的工具。
数据恢复】如何确保后缀.fc勒索病毒数据100%恢复
weixin_13318844580的博客
03-29 1034
2022年,国内某企业馈其内部所有的服务器上的文件都被加密无法打开,这也导致了部分业务的瘫痪。据了解,加密文件的拓展名为“.fc”。通过对被加密样本的分析以及检测,可判断此次攻击的病毒Phobos勒索病毒。该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动投毒。同时受害者机器上被发现大量工具。经数据恢复工程师检测分析,最终确定数据恢复方案,并争分夺秒帮助客户完成恢复数据数据恢复率达100%,获得了客户高度好评。
Phobos病毒家族最新变种.faust后缀勒索病毒活跃传播
weixin_13318844580的博客
03-19 1290
最近,Phobos病毒家族的一种新变种,被称为“faust后缀勒索病毒”,已经开始在互联网上活跃传播。在本文中,我们将探讨这种病毒的工作原理、传播方式以及如何防范和应对它。如果不幸感染了这个勒索病毒,您可添加我们的数据恢复服务号(shujuxf)免费咨询获取数据恢复的相关帮助。这个后缀已经是Phobos老牌勒索病毒家族的第N个升级变种了,下面我们来了解看看这个.faust后缀勒索病毒。近日,91数据恢复研究院们发现了Phobos病毒的最新变种——faust后缀勒索病毒的活跃传播。
数据库中了勒索病毒怎么办?(数据恢复的终极大招DUL)
最新发布
xiaofan23z的专栏
04-09 1524
数据库如何预防勒索病毒 接上文,如果数据库中了勒索病毒,并且备份也同样被攻陷,那该怎么办?以最为常见的Lockbit3.0为例,LockBit采用先进的加密算法,通常是对称密钥加密和非对称密钥加密的组合。这使得被感染的系统中的文件无法被正常访问,想破解几乎是不可能的。只能支付赎金来获取解密工具来解密!如果你的数据库被勒索病毒加密,又不想缴纳昂贵的赎金?如何最大限度的恢复数据呢?这里就会使用到oracle数据恢复的最终大招了DUL(Data Unloader)!DUL是Data Unloader的缩写,Or
勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例
lmchang33的博客
12-19 2127
记两次勒索病毒数据恢复实例
phobos勒索病毒解密工具
06-25
### 回答1: phobos勒索病毒是一种非常破坏性的计算机病毒,它会对用户的计算机进行加密,并要求用户支付赎金才能够获取解密密钥。这种病毒的出现给用户的生活和工作带来了很大的不便和麻烦,因此,很多专业的安全公司也在积极研发解密工具来帮助用户解决这个问题。 phobos勒索病毒解密工具是一种能够解密被该病毒加密的文件的软件程序。它可以在不向攻击者支付赎金的情况下,还原用户被加密的数据。在使用这种工具的时候,用户需要按照工具的使用说明进行操作,具体步骤主要包括下载并安装解密工具,选择被加密的文件,并且开始进行解密操作。在解密的过程中,用户需要根据工具提供的提示,输入密钥以完成解密。 但是需要注意的是,phobos勒索病毒解密工具可能不会完全解决用户所遇到的问题。因为病毒本身是会不断更新改进的,所以解密工具也需要不断跟进和更新才能够适应最新的病毒版本。因此,用户在使用解密工具进行解密的过程中,还需要注意备份和防范措施,并且在遇到问题时及时求助专业的技术人员,以尽可能保护自己的数据安全。 ### 回答2: Phobos勒索病毒是一种非常恶性的计算机病毒,它会通过加密系统文件和文档等方式,使得用户无法访问自己的计算机数据。这种病毒常常要求受害者支付赎金,以获取解密文件的密钥,否则就永远无法恢复自己的数据。 为了解决这个问题,专业的技术人员和安全公司开发了Phobos勒索病毒解密工具。这种工具能够通过解开Phobos勒索病毒加密的算法,找到并还原其中数据的密钥,使得受害者可以重新访问自己的文件和目录。 然而,使用Phobos勒索病毒解密工具并不是一件容易的事情。首先,这种工具只能用于特定版本的Phobos勒索病毒,对于其他版本的病毒可能无效。其次,解密工具的使用需要专业的技术人员和丰富的经验,否则可能会导致数据损坏或丢失。而且,解密工具可能需要付费购买,这增加了受害者的经济压力。 因此,为了避免被这种恶意病毒攻击,用户应该尽量提升自己的安全意识,加强计算机和文件的保护措施,定期备份重要数据。如果不幸感染了Phobos勒索病毒,建议第一时间联系专业的安全团队,寻求专业的帮助和建议。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值