makop勒索病毒怎么回事？怎么中毒的？怎么恢复文件？怎么防范？

【makop勒索病毒怎么回事】

      后缀为makop和mkp的病毒都属于Makop 勒索软件家族，这是最新的恶意软件，目前正在流行。它指示用户/受害者通过 P2P 即时通讯协议 Tox 联系恶意软件作者。该恶意软件会加密每个文件夹中的所有文件，并为每个文件添加扩展名 .makop。加密文件的格式是“[ID].[联系邮想].makop”，感染加密的每台电脑都会生成一个唯一的ID，ID 是从注册表中提取的，用于生成个人 ID，该 ID 也将出现在勒索信中，它还会将名为“readme-warning.txt”的勒索信放入每个受感染的文件夹和桌面。该勒索软件使用 AES256 密钥在运行时解密内存中的字符串，它还创建互斥锁以避免运行多个恶意软件实例。勒索软件访问和修改注册表值，并使用它来获得持久性。

     勒索软件生成了两个新的 AES256 密钥，可互换使用来加密文件的内容。生成一个新的由 16 个字节组成的初始化向量（IV）并存储在加密文件中，用于加密的 AES 密钥使用 RSA 公钥进行加密。如果不知道与硬编码的公钥对应的 RSA 私钥，就不可能解密文件。在加密说明文件中提到，别尝试用任何第三方数据恢复工具去处理被加密的文件，因为它们可能会损坏您的数据，这是的确是事实。

【怎么中毒的】

     勒索软件感染最流行的传播媒介，例如未受保护的 RDP（远程桌面）配置、木马、恶意电子邮件垃圾邮件（宏）、后门程序、键盘记录程序、虚假更新和软件破解工具、不可靠的盗版程序（来自文件托管网站、P2P 共享网络、torrent 页面）、恶意广告等。

     据统计，许多开发人员成功地通过捆绑恶意附件的电子邮件来传播感染。这些附件通常是各种格式的链接或文件。DOCX、PDF、EXE、RAR、ZIP 和 JS 恶意网址链接都是可能在潜在恶意消息中遇到的文件扩展名。下载并打开它们更有可能导致安装高风险恶意软件。

      用恶意软件渗透系统的另一种流行方法是将病毒伪装成官方更新、软件破解工具和受信任的供应商推广的盗版软件。恶意软件开发人员会模仿原始软件的安装过程，以确保受害者完成安装。最好只使用官方网站下载软件。

      其实现在流行的杀毒软件大部分行径都能检查拦截到，只是很多人不会去安装并开启监测。不过话也说回来不能完全依赖安全软件，因为它们也不是万能的，总有些新出的未知的恶意软件出现。

【怎么恢复文件】

      前面已经介绍到了，很多病毒的加密算法都是非常复杂的，在不知道秘钥的情况下要去破解是非常难的。大部分病毒的算法是没有漏洞可寻的，所以破解也就无从下手。而对于少部分病毒在国际上已经有公益破解工具了，https://www.nomoreransom.org/zh/decryption-tools.html 。对于本文提到的新型makop勒索软件感染的文件是没办法破解的。有些人也尝试用别的硬件恢复工具，都无济于事的。这种文件内容被算法加密，只能秘钥才能解开。

      那是不是就只能通过赎金的方式来恢复文件呢？不！非常不建议这么去做的，因为风险太大，而且估计代价也很高，我们更不能妥协这种行为。如果文件不重要就直接删除重装系统，重新开始。如果文件重要并且是数据库文件那就还有办法可以挽救，之前看到一个专业博客中有介绍https://pangniao.netlify.app/能通过碎片提取重组的办法来修复文件找回数据，其中有工具和方案而这是非常专业的事情。不管你要如何恢复文件，都记得一定要在第一时间把重要的文件做好异地多处备份，防止更加不可预料的意外。

【怎么防范】

    切勿点击不安全的链接：避免点击垃圾邮件或未知网站中的链接。如果您单击恶意链接，可能会启动自动下载，这可能会导致您的计算机被感染。

    避免透露个人信息：如果您收到来自不可信来源的要求个人信息的电话、短信或电子邮件，请不要回复。计划进行勒索软件攻击的网络犯罪分子可能会尝试提前收集个人信息，然后将其用于专门为您定制网络钓鱼消息。如果对邮件是否合法有任何疑问，请直接联系发件人。

    不要打开可疑的电子邮件附件：勒索软件还可以通过电子邮件附件找到您的设备。避免打开任何看起来可疑的附件。为确保电子邮件可信，请密切注意发件人并检查地址是否正确。切勿打开提示您运行宏以查看它们的附件。如果附件被感染，打开它会运行一个恶意宏，让恶意软件控制您的计算机。

     切勿使用未知的 USB ：如果您不知道 USB 或其他存储介质的来源，切勿将它们连接到您的计算机。网络犯罪分子可能已经感染了存储介质并将其放置在公共场所以诱使某人使用它。

    使您的程序和操作系统保持最新：定期更新程序和操作系统有助于保护您免受恶意软件的侵害。执行更新时，请确保您受益于最新的安全补丁。这使得网络犯罪分子更难利用您程序中的漏洞。

    仅使用已知的下载源：为最大限度地降低下载勒索软件的风险，切勿从未知站点下载软件或媒体文件。依靠经过验证且值得信赖的网站进行下载。此类网站可以通过信任印章识别。确保您正在访问的页面的浏览器地址栏使用“https”而不是“http”。地址栏中的盾牌或锁定符号也可以表明该页面是安全的。将任何内容下载到您的移动设备时也要小心。

     正确使用安装防毒软件，流行的杀毒软件是有很好的查杀能力的。

     重要的数据一定要定期做好异地备份，并且隔断网络存放。否则连接网络的同时就会存在风险。