makop#勒索病毒#怎么回事?怎么中毒的?怎么恢复文件?怎么防范?
后缀为makop和mkp的病毒都属于Makop勒索软件家族,这是最新的恶意软件,目前正在流行。它指示用户/受害者通过P2P即时通讯协议Tox联系恶意软件作者。该恶意软件会加密每个文件夹中的所有文件,并为每个文件添加扩展名.makop。加密文件的格式是“[ID].[联系邮想].makop”,感染加密的每台电脑都会生成一个唯一的ID,ID是从注册表中提取的,用于生成个人ID,该ID也将出现在勒索信中,它还会将名为“readme-warning.txt”的勒索信放入每个受感染的文件夹和桌面。该勒索软件使用AES密钥在运行时解密内存中的字符串,它还创建互斥锁以避免运行多个恶意软件实例。勒索软件访问和修改注册表值,并使用它来获得持久性。
勒索软件生成了两个新的AES密钥,可互换使用来加密文件的内容。生成一个新的由16个字节组成的初始化向量(IV)并存储在加密文件中,用于加密的AES密钥使用RSA公钥进行加密。如果不知道与硬编码的公钥对应的RSA私钥,就不可能解密文件。在加密说明文件中提到,别尝试用任何第三方数据恢复工具去处理被加密的文件,因为它们可能会损坏您的数据,这是的确是事实。
勒索软件感染最流行的传播媒介,例如未受保护的RDP(远程桌面)配置、木马、恶意电子邮件垃圾邮件(宏)、后门程序、键盘记录程序、虚假更新和软件破解工具、不可靠的盗版程序(来自文件托管网站、P2P共享网络、torrent页面)、恶意广告等。
据统计,许多开发人员成功地通过捆绑恶意附件的电子邮件来传播感染。这些附件通常是各种格式的链接或文件。DOCX、PDF、EXE、RAR、ZIP和JS恶意网址链接都是可能在潜在恶意消息中遇到的文件扩展名。下载并打开它们更有可能导致安装高风险恶意软件。
用恶意软件渗透系统的另一种流行方法是将病毒伪装成官方更新、软件破解工具和受信任的供应商推广的盗版软件。恶意软件开发人员会模仿原始软件的安装过程,以确保受害者完成安装。最好只使用官方网站下载软件。
其实现在流行的杀毒软件大部分行径都能检查拦截到,只是很多人不会去安装并开启监测。不过话也说回来不能完全依赖安全软件,因为它们也不是万能的,总有些新出的未知的恶意软件出现。
前面已经介绍到了,很多病毒的加密算法都是非常复杂的,在不知道秘钥的情况下要去破解是非常难的。大部分病毒的算法是没有漏洞可寻的,所以破解也就无从下手。而对于少部分病毒在国际上已经有公益破解工具了,