【恢复案例】国内某公司服务器感染.[ideapad@privatemail.com].mkp新型勒索病毒

目录

前言：案例简介

一、什么是.[ideapad@privatemail.com].mkp勒索病毒？

二、中了.[ideapad@privatemail.com 后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据情况

2. 数据恢复完成情况

3. 数据恢复工期

系统安全防护措施建议：

---

前言：案例简介

        .[ideapad@privatemail.com].mkp后缀勒索病毒是国外知名勒索病毒家族的新型传播病毒，最近我们已经接到不少的企业咨询与求助，请各企业务必加强防范。

        近日，国内某公司服务器中了后缀.[ideapad@privatemail.com].mkp勒索病毒，公司的服务器文件全部中毒，所有软件服务器和文件服务器的文件被全部加密，亟需数据恢复，否则公司设计业务无法运转，对公司业务影响较大。下面我们来了解一下.[ideapad@privatemail.com].mkp勒索病毒

---

一、什么是.[ideapad@privatemail.com].mkp勒索病毒？

      .[ideapad@privatemail.com].mkp勒索病毒与大多数勒索病毒一样，.[ideapad@privatemail.com].mkp勒索病毒通过加密阻止对文件的访问，更改文件名并向受害者提供有关如何恢复其文件的说明。该勒索病毒通过加密文件并在文件名后附加“[XXXXXXX].[ideapad@privatemail.com].mkp ”扩展名来重命名所有加密文件。

      .[ideapad@privatemail.com].mkp勒索病毒以一种或另一种方式进入计算机后，它将更改Windows注册表，删除卷影副本，打开/写入/复制系统文件，产生在后台运行的factura.exe进程，加载各种模块等。加密数据后，.[ideapad@privatemail.com].mkp勒索病毒还与Command＆Control 服务器联系，为每个受害者发送一个RSA私钥（解密文件时需要使用它）。最终，该恶意软件会加密图片，文档，数据库，视频和其他文件，仅保留系统数据，还有其他一些例外。

        一旦在目标系统上执行了.[ideapad@privatemail.com].mkp勒索病毒的程序，就会触发攻击的第一阶段。一旦.nread文件病毒进行了初步的恶意修改，它便可以激活内置的密码模块，从而通过该模块设置数据加密过程的开始。在攻击的此阶段，.[ideapad@privatemail.com].mkp病毒会扫描所有系统驱动器以寻找目标文件.

经过我们研究发现，.mkp后缀勒索病毒是原传播很久的.makop勒索病毒的升级版，与该病毒同类的后缀病毒还有以下各种后缀，都是同一个病毒家族的，我们团队均可以恢复处理：

.[coleman.dec@tutanota.com].makop

.[honestandhope@qq.com].makop

.[yourfriendz@secmail.pro].makop

.[helpmakop@cock.li].makop

.[dino@rape.lol].makop

.[daviderichardo@tutanota.com].makop

.[filerecov3ry@keemail.me].makop

.[helpmakop@cock.li].makop

.[manage.file@messagesafe.io].makop

.[Evilminded@privatemail.com].makop

.[decrypt.makop.file@messagesafe.io].makop

.[hopeandhonest@smime.ninja].makop

.[daviderichardo@tutanota.com].makop 

.[Goodhack@privatemail.com].makop

.[ustedesfil@safeswiss.com].makop

.[paybackformistake@qq.com].makop

.[datapro@decoymail.com].makop

.[ideapad@privatemail.com].makop

.[uSuppor@privatemail.com].mkp

.[uSuppor@privatemail.com].mkp

.[ideapad@privatemail.com].mkp勒索病毒是如何传播感染的？

经过分析多家公司感染勒索病毒后的机器环境及系统日志判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

    关闭远程桌面，或者修改默认用户administrator

共享设置

    检查是否只有共享出去的文件被加密。 

第三方账户  

    检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。 

软件漏洞

    根据系统环境，针对性进行排查，例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。

---

二、中了.[ideapad@privatemail.com 后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

---

三、恢复案例介绍：

1. 被加密数据情况

一台文件服务器，被加密的文件数据量约57万+个，数据量大约7.5T左右，数据量非常庞大。

2. 数据恢复完成情况

        数据完成恢复，57万多个文件，有370个图片文件无法恢复，恢复率等于99.99%。恢复完成的文件均可以正常打开及使用。

3. 数据恢复工期

恢复工期：

       一台文件服务器，我们团队在收到客户当天晚上下单开始通宵执行恢复施工，最终于第二天晚上完成了全部数据的恢复，耗时1天。

系统安全防护措施建议：

1.多台机器，不要使用相同的账号和口令

2.登录口令要有足够的长度和复杂性，并定期更换登录口令

3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4.定期检测系统和软件中的安全漏洞，及时打上补丁。

5.定期到服务器检查是否存在异常。

6.安装安全防护软件，并确保其正常运行。

7.从正规渠道下载安装软件。

8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。 

9.保存良好的备份习惯，尽量做到每日备份，异地备份。