前言：案例介紹

.[eSuppor@]。mkp后綴勒索病毒是今年1月國外著名的勒索病毒家族開始傳播的一種新變種病毒，自今年1月該病毒爆發(fā)以來，陸續(xù)得到感染該病毒的加密數(shù)據(jù)企業(yè)的咨詢和幫助，自病毒爆發(fā)以來，我的團隊也繼續(xù)研究該病毒的加密數(shù)據(jù)，發(fā)現(xiàn)該病毒已經(jīng)傳播了一年多。Mak OK

如果受感染的數(shù)據(jù)確實有恢復(fù)的價值與必要性，可添加我們的技術(shù)服務(wù)號（sjhf91）進行免費咨詢獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助。接下來我們先來了解下.[eSuppor@].mkp勒索病毒。

---

一、什么是.[eSupport@].mkp勒索病毒？

.[eSuppor@].mkp病毒是一種基于文件勒索病毒代碼的加密病毒。這種威脅已在主動攻擊中發(fā)現(xiàn)。有多種分發(fā)技術(shù)可用于在目標(biāo)操作系統(tǒng)上傳送惡意文件，例如遠程桌面爆破、垃圾郵件、損壞的軟件安裝程序、torrent 文件、虛假軟件更新通知和被黑網(wǎng)站。

.[eSuppor@].mkp勒索軟件以某種方式進入計算機后，會更改Windows注冊表、刪除卷影副本、打開/寫入/復(fù)制系統(tǒng)文件、生成后臺運行的進程、加載各種模塊等。

.[eSuppor@].mkp勒索病毒將掃描您的計算機以查找圖像、視頻以及重要的生產(chǎn)力文檔和文件，例如 .doc、.docx、.xls、.pdf。當(dāng)檢測到這些文件時，勒索軟件會對它們進行加密并將其擴展名更改為“[XXXXXX].[eSuppor@].mkp”，這樣您就無法再打開它們。

但是因為數(shù)據(jù)庫文件一般都比較大，所以這個勒索病毒的加密程序會采取部分塊狀方式加密，所以數(shù)據(jù)庫文件是有機會通過數(shù)據(jù)修復(fù)的方法進行恢復(fù)。

所以感染了這個勒索病毒的數(shù)據(jù)庫文件可以通過技術(shù)手段單獨修復(fù)，修復(fù)率還比較高，修復(fù)技術(shù)水平高的可以達到95%以上，甚至100%，修復(fù)費用也遠比交贖金低，但是這也是需要修復(fù)技術(shù)團隊具備過硬的專業(yè)實力才可以達到的水準(zhǔn)，否則容易導(dǎo)致數(shù)據(jù)庫文件二次損壞。

萬一不幸感染了這個勒索病毒，您可添加我們的技術(shù)服務(wù)號（sjhf91）進行免費咨詢獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助。

經(jīng)過我們研究發(fā)現(xiàn)，.mkp后綴勒索病毒是原傳播很長時間的.makop勒索病毒的升級版，與該病毒同類的后綴病毒還有以下各種后綴，都是同一個病毒家族的，我們團隊均可以恢復(fù)處理：

.[coleman.dec@].makop

.[honestandhope@qq.com].makop

.[yourfriendz@].makop

.[helpmakop@cock.li].makop

.[dino@ra].makop

.[daviderichardo@].makop

.[filerecov3ry@keemail.me].makop

.[helpmakop@cock.li].makop

.[manage.file@me].makop

.[Evilminded@].makop

.[decrypt.makop.file@me].makop

.[hopeandhonest@].makop

.[daviderichardo@].makop

.[Goodhack@].makop

.[ustedesfil@].makop

.[paybackformistake@qq.com].makop

.[datapro@decoymail.com].makop

.[ideapad@].makop

.[uSuppor@].mkp

.[tSuppor@].mkp

.[eSuppor@].mkp

.[hopeandhonest@].mkp

.[ideapad@].mkp

.[eSupport@].mkp勒索病毒是如何傳播感染的？

經(jīng)過分析多家公司中毒后的機器環(huán)境判斷，勒索病毒基本上是通過以下幾種方式入侵，請大家可逐一了解并檢查以下防范入侵方式，畢竟事前預(yù)防比事后恢復(fù)容易的多。

遠程桌面口令爆破

關(guān)閉遠程桌面，或者修改默認(rèn)用戶administrator

共享設(shè)置

檢查是否只有共享出去的文件被加密。

軟件漏洞

根據(jù)系統(tǒng)環(huán)境，針對性進行排查，例如常見被攻擊環(huán)境Java、通達 OA、致遠 OA 等。查 web 日志、排查域控與設(shè)備補丁情況等。

---

二、中了.[eSuppor@].mkp后綴勒索病毒文件怎么恢復(fù)？

此后綴病毒文件由于加密算法問題，每臺感染的電腦服務(wù)器文件都不一樣，需要獨立檢測與分析中毒文件的病毒特征與加密情況，才能確定最適合的恢復(fù)方案。

考慮到數(shù)據(jù)恢復(fù)需要的時間、成本、風(fēng)險等因素，建議如果數(shù)據(jù)不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統(tǒng)，后續(xù)做好系統(tǒng)安全防護工作即可。如果受感染的數(shù)據(jù)確實有恢復(fù)的價值與必要性，可添加我們的技術(shù)服務(wù)號（sjhf91）免費咨詢獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助。

---

三、恢復(fù)案例介紹：

1. 被加密數(shù)據(jù)情況

一臺服務(wù)器，被加密的文件數(shù)據(jù)量約8萬+個，數(shù)據(jù)量大約120G左右。

2. 數(shù)據(jù)恢復(fù)完成情況

數(shù)據(jù)完成恢復(fù)，8萬多個文件，全部文件均已恢復(fù)，恢復(fù)率等于100%?；謴?fù)完成的文件均可以正常打開及使用。

3. 恢復(fù)工期

一臺服務(wù)器，我們團隊在收到客戶當(dāng)天下單開始連續(xù)通宵執(zhí)行恢復(fù)施工，最終于第三天上午完成了全部數(shù)據(jù)的恢復(fù)，耗時兩天。

預(yù)防勒索病毒-日常防護建議：

預(yù)防遠比救援重要，所以為了避免出現(xiàn)此類事件，強烈建議大家日常做好以下防護措施：

1．多臺機器，不要使用相同的賬號和口令，以免出現(xiàn)“一臺淪陷，全網(wǎng)癱瘓”的慘狀；

2．登錄口令要有足夠的長度和復(fù)雜性，并定期更換登錄口令；

3．嚴(yán)格控制共享文件夾權(quán)限，在需要共享數(shù)據(jù)的部分，盡可能的多采取云協(xié)作的方式。

4．及時修補系統(tǒng)漏洞，同時不要忽略各種常用服務(wù)的安全補丁。

5．關(guān)閉非必要的服務(wù)和端口如135、139、445、3389等高危端口。

6．備份備份備份！?。≈匾Y料一定要定期隔離備份。進行RAID備份、多機異地備份、混合云備份，對于涉及到機密或重要的文件建議選擇多種方式來備份；

7．提高安全意識，不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發(fā)送的文件，在點擊或運行前進行安全掃描，盡量從安全可信的渠道下載和安裝軟件；

8．安裝專業(yè)的安全防護軟件并確保安全監(jiān)控正常開啟并運行，及時對安全軟件進行更新。