計(jì)算機(jī)病毒的定義：

是一個(gè)程序

具有傳染性，可以傳染其他程序

傳染方式是修改其他程序，自身復(fù)制嵌入實(shí)現(xiàn)

2 計(jì)算機(jī)病毒的特征：

非授權(quán)可執(zhí)行性

隱蔽性；

傳染性

潛伏性

表現(xiàn)性或破壞性

可觸發(fā)性

3 計(jì)算機(jī)病毒的危害

直接破壞計(jì)算機(jī)數(shù)據(jù)信息

占用磁盤空間和對(duì)信息的破壞

搶占系統(tǒng)資源

影響計(jì)算機(jī)運(yùn)行速度

病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害

兼容性對(duì)系統(tǒng)運(yùn)行的影響

給用戶造成嚴(yán)重心理壓力

4 計(jì)算機(jī)病毒的結(jié)構(gòu)

病毒的引導(dǎo)模塊：引導(dǎo)

病毒的傳染模塊：擴(kuò)散 傳染

病毒的發(fā)作模塊：表現(xiàn)

5 計(jì)算機(jī)病毒的分類

按病毒攻擊的系統(tǒng)分類

攻擊DOS系統(tǒng)的病毒

攻擊windows系統(tǒng)的病毒

攻擊UNIX系統(tǒng)的病毒

攻擊OS/2系統(tǒng)的病毒

按照病毒的攻擊機(jī)型分類

攻擊微型計(jì)算機(jī)病毒

攻擊小型計(jì)算機(jī)病毒

攻擊工作站的計(jì)算機(jī)病毒

按照病毒的鏈接方式分類

源碼型病毒 編譯前插入

嵌入型病毒：插入

外殼型病毒：包圍不修改

操作系統(tǒng)型病毒：加入或取代 圓點(diǎn) 病毒 大麻病毒

按照病毒的破壞情況分類

良性計(jì)算機(jī)病毒

惡性計(jì)算機(jī)病毒

按照病毒的寄生方式分類

引導(dǎo)型病毒：大麻病毒 2708病毒 火炬病毒 小球病毒 Girl病毒

文件型病毒：CIH病毒 宏病毒 文檔 模板文件

復(fù)合型病毒

按照病毒的傳播媒介分類：

單機(jī)病毒

網(wǎng)絡(luò)病毒 html病毒

6 網(wǎng)絡(luò)病毒特點(diǎn)

傳染方式多

傳播速度比較快

清除難度大

破壞性強(qiáng)

潛在性深

7 計(jì)算機(jī)病毒檢測(cè)的主要依據(jù)

磁盤主引導(dǎo)扇區(qū)

FAT表

中斷向量

可執(zhí)行文件

內(nèi)存空間

特征串

8 計(jì)算機(jī)病毒的檢測(cè)手段

特征代碼法：已知病毒

校驗(yàn)和法：未知病毒

行為監(jiān)測(cè)法：

軟件模擬法：模擬分析

9 計(jì)算機(jī)病毒的新特性：

利用微軟漏洞主動(dòng)傳播

以多種方式傳播

雙程序結(jié)構(gòu)

用即時(shí)工具傳播病毒

局域網(wǎng)內(nèi)快速傳播

病毒與黑客技術(shù)融合

應(yīng)用軟件漏洞成為網(wǎng)頁(yè)掛馬的新寵

大量消耗系統(tǒng)與網(wǎng)絡(luò)資源

10 今后病毒的特點(diǎn)

變形病毒成為下一代病毒首要特點(diǎn)

與internet更加緊密結(jié)合

具有混合型特征 集文件傳染 蠕蟲 木馬 黑客程序特點(diǎn)于一身

更加注重欺騙性

利用系統(tǒng)和程序漏洞成為病毒有力的傳播方式

11 惡意代碼的特征

惡意的目的

本身是程序

通過(guò)執(zhí)行發(fā)生作用

12 惡意代碼的分類

木馬

網(wǎng)絡(luò)蠕蟲

移動(dòng)代碼

復(fù)合型病毒

13 惡意代碼的關(guān)鍵技術(shù)

生存技術(shù)： 反跟蹤， 加密，模糊變換技術(shù) 自動(dòng)生產(chǎn)技術(shù)

攻擊技術(shù)： 進(jìn)程注入 三線程 端口復(fù)用 對(duì)抗檢測(cè)

隱藏技術(shù)：本地隱藏 通信隱藏

14 惡意代碼的防范：

及時(shí)更新系統(tǒng)，修補(bǔ)安全漏洞

設(shè)置安全策略，限制腳本程序的運(yùn)行

啟用防火墻，過(guò)濾不必要的服務(wù)和系統(tǒng)信息

養(yǎng)成良好的上網(wǎng)習(xí)慣

日 Phobos 勒索軟件家族Eking勒索病毒較活躍，今天接到一個(gè)oracle數(shù)據(jù)庫(kù) 勒索病毒加密的案例, 由于DBF文件被全加密，但是可以從加密的DMP備份文件恢復(fù)。可以解決問(wèn)題。

下面是 該病毒的一些資料

Eking屬于 Phobos 勒索軟件家族。它對(duì)文件進(jìn)行加密，重命名并生成大量勒索消息。Eking通過(guò)添加受害者的ID，decphob @ tuta.io電子郵件地址并在文件名后附加“ .eking ”擴(kuò)展名來(lái)重命名文件。例如，它重命名“ 1.JPG ”到“ 1.jpg.id [1E857D00-2275] [decphob@tuta.io] .eking ”， “ 2.JPG ”到“ 2.jpg.id [1E857D00-2275 ]。[decphob@tuta.io] .eking ”，依此類推。它在彈出窗口中顯示勒索消息（“ info.hta ”），并在文本文件中創(chuàng)建另一個(gè)勒索消息（“ info.txt ”）。

info.hta和info.txt勒索消息指出，受害者必須通過(guò)發(fā)送電子郵件至decphob@tuta.io或decphob@protonmail.com并等待進(jìn)一步的指示來(lái)聯(lián)系Eking的開發(fā)人員。如果受害者在24小時(shí)內(nèi)未收到答復(fù)，則敦促他們通過(guò)提供的Tor網(wǎng)站鏈接與網(wǎng)絡(luò)犯罪分子聯(lián)系。它們還提供多達(dá)五個(gè)文件的免費(fèi)解密，可以在支付解密費(fèi)用之前將其發(fā)送給Eking的開發(fā)人員。不幸的是，沒(méi)有其他工具可以解密Eking勒索軟件破壞的文件-只有Eking的開發(fā)人員才擁有有效的解密工具。請(qǐng)注意，即使付款后，勒索軟件開發(fā)人員也不會(huì)發(fā)送解密工具/密鑰。因此，信任網(wǎng)絡(luò)罪犯的受害者經(jīng)常被騙。一般來(lái)說(shuō)，恢復(fù)對(duì)由于勒索軟件攻擊而丟失的文件的訪問(wèn)的唯一方法是從備份中還原它們。從操作系統(tǒng)中卸載Eking將阻止進(jìn)一步的加密，但是，即使刪除了勒索軟件，已經(jīng)加密的文件仍然無(wú)法訪問(wèn)。

鼓勵(lì)用戶支付贖金以解密其泄露數(shù)據(jù)的消息的屏幕截圖：

還有許多其他勒索軟件感染的例子，包括 Koti，ZoNiSoNaL和MR.ROBOT。該軟件對(duì)數(shù)據(jù)進(jìn)行加密，并提供有關(guān)如何聯(lián)系設(shè)計(jì)數(shù)據(jù)的網(wǎng)絡(luò)罪犯，支付贖金和其他信息的說(shuō)明。共同的區(qū)別是勒索軟件用來(lái)鎖定（加密）文件的解密工具/密鑰和加密算法（對(duì)稱或非對(duì)稱）的成本。在大多數(shù)情況下，僅當(dāng)勒索軟件包含錯(cuò)誤/缺陷且不完整時(shí)，才可以進(jìn)行免費(fèi)解密。不幸的是，這種情況很少見(jiàn)。因此，將數(shù)據(jù)備份到遠(yuǎn)程服務(wù)器（例如Cloud）和/或未插拔的存儲(chǔ)設(shè)備上非常重要。

勒索軟件如何感染我的計(jì)算機(jī)？

網(wǎng)絡(luò)罪犯用于傳播勒索軟件和其他惡意軟件的一些最常見(jiàn)方法是通過(guò)垃圾郵件活動(dòng)，假冒軟件更新程序，不可信的下載渠道，非官方的軟件激活工具和特洛伊木馬。他們使用垃圾郵件活動(dòng)發(fā)送包含惡意附件或旨在下載危險(xiǎn)文件的網(wǎng)站鏈接的電子郵件。他們的主要目的是欺騙收件人打開（執(zhí)行）惡意文件，然后安裝惡意軟件。這些文件通常是Microsoft Office文檔，存檔文件（ZIP，RAR），PDF文檔，JavaScript文件以及諸如.exe之類的可執(zhí)行文件。惡意軟件還通過(guò)偽造的軟件更新程序進(jìn)行傳播。通常，非官方的第三方更新工具不會(huì)更新/修復(fù)任何已安裝的軟件。他們只是通過(guò)利用過(guò)時(shí)的軟件的錯(cuò)誤/缺陷來(lái)安裝惡意軟件或感染系統(tǒng)。此外，不受信任的軟件下載渠道也可以分發(fā)惡意軟件。對(duì)等網(wǎng)絡(luò)（例如torrent客戶端，eMule，免費(fèi)文件托管站點(diǎn)，免費(fèi)軟件下載網(wǎng)站和其他類似渠道）通常會(huì)導(dǎo)致惡意文件的下載。執(zhí)行后，這些文件將使用惡意軟件感染計(jì)算機(jī)。請(qǐng)注意，這些文件經(jīng)常偽裝成合法的和常規(guī)的。試圖免費(fèi)激活付費(fèi)軟件的人們使用軟件“破解”程序，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。免費(fèi)軟件下載網(wǎng)站和其他類似渠道通常會(huì)導(dǎo)致惡意文件的下載。執(zhí)行后，這些文件將使用惡意軟件感染計(jì)算機(jī)。請(qǐng)注意，這些文件經(jīng)常偽裝成合法的和常規(guī)的。試圖免費(fèi)激活付費(fèi)軟件的人們使用軟件“破解”程序，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。免費(fèi)軟件下載網(wǎng)站和其他類似渠道通常會(huì)導(dǎo)致惡意文件的下載。執(zhí)行后，這些文件將使用惡意軟件感染計(jì)算機(jī)。請(qǐng)注意，這些文件經(jīng)常偽裝成合法的和常規(guī)的。試圖免費(fèi)激活付費(fèi)軟件的人們使用軟件“破解”程序，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。這些程序供試圖免費(fèi)激活付費(fèi)軟件的人使用，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。這些程序供試圖免費(fèi)激活付費(fèi)軟件的人使用，但是，它們經(jīng)常安裝勒索軟件類型和其他惡意軟件。木馬在安裝時(shí)會(huì)傳播惡意軟件-如果已經(jīng)安裝了這種類型的惡意程序，則可能會(huì)造成其他破壞。

詳情:
勒索病毒名字 Eking virus
類型 Ransomware, Crypto Virus, Files locker.
加密后的擴(kuò)展名 .eking
贖金消息文本 info.hta and info.txt
郵件地址 decphob@tuta.io, decphob@protonmail.com, holylolly@airmail.cc, digistart@protonmail.com, greed_001@aol.com, helpmedecoding@airmail.cc, Black_Wayne@protonmail.com, Decryptdatafiles@protonmail.com, supp0rt@cock.li, quickrecovery05@firemail.cc, tsec3x777@protonmail.com, DECRYPTUNKNOWN@Protonmail.com, gluttony_001@aol.com, recoryfile@tutanota.com, ICQ@fartwetsquirrel, jerjis@tuta.io, holylolly@airmail.cc, pride_001@aol.com, kabura@firemail.cc, r4ns0m@tutanota.com, contactjoke@cock.li, moon4x4@tutanota.com, hublle@protonmail.com, clearcom@protonmail.com, chinadecrypt@fasthelpassia.com, paymantsystem@cock.li, Hubble77@tutanota.com, savemyself1@tutanota.com, qirapoo@firemail.cc, yoursjollyroger@cock, raboly@firemail.cc, eight20@protonmail.com, divevecufa@firemail.cc, cyvedira@firemail.cc, filedec@tutanota.com, crioso@protonmail.com, eleezcry@tutanota.com, HELPUNKNOWN@Tutanota.com, decrypt20@vpn.tg, kubura@firemail.cc, rodrigos@keemail.me, chadmad@ctemplar.com, chadmad@nuke.africa, dataencrypted@tutanota.com, itambuler@protonmail.com, itambuler@tutanota.com, dcrptfile@protonmail.com, filesdecrypt@aol.com, davidshelper@protonmail.com, reynoldmuren@tutanota.com, dacowe@firemail.cc, dozusopo@tutanota.com, subik099@tutanota.com, subik099@cock.li, trizvani@aol.com, trizvani@tutanota.com, datashop@list.ru, wugenaxu@firemail.cc, databack@airmail.cc, databack@firemail.cc, moonlight101@tutanota.com, moonlight10@mail.ee, fata52@cock.li, fata54@cock.li, phobos2020@cock.li, phobos2020@tutanota.com, xiaolinghelper@firemail.cc, redsnow911@protonmail.com, surpaking@tutanota.com, surpakings@mail.ee, btcunlock@airmail.cc, btcunlock@firemail.cc, anticrypt2020@aol.com, wiruxa@airmail.cc, yongloun@tutanota.com, anygrishevich@yandex.ru, alonesalem@keemail.me, alonesalem@protonmail.com, encrypted60@tutanota.com, cifrado60@tutanota.com, rantime@tuta.io, ransomtime@cock.li, opticodbestbad@aol.com, opticodbestbad@mail.ee, unlockdata@firemail.cc, onlyway@secmail.pro, jobiden1942@protonmail.com, jonneydep@protonmail.com, forumsystem@cock.li, forumsystem@techmail.info, sdx-2020@tutanota.com, sdx-20200@protonmail.com, encryption2020@aol.com, grootp2@protonmail.com, noobt56@protonmail.com, dragon.save@aol.com, dragon.save@yahoo.com, dragon.save@aol.com, drgreen1@keemail.me, drgreen2@protonmail.com, decryption24h@criptext.com, decryption24h@elude.in, fastwind@mail.ee, fastwind2@protonmail.com, newera@ctemplar.com, newera@tfwno.gf, johnsonz@keemail.me, johnsonz@cock.lu, pandora9@tuta.io, happy@gytmail.com, ghosttm@zohomail.com, falcon360@cock.li, tebook12@protonmail.com, rody_218@protonmail.com, erichhartmann_main@protonmail.com, erichhartmann_reserve@tuta.io, files@restore.ws, covidv19@tutanota.com, dtramp@tuta.io, lexus@gytmail.com, decrypt20@stealth.tg, decrypt20@firemail.cc, dowendowxxx@privatemail.com, ransom1999@tutanota.com, ransom2000@tutanota.com, hellook@gytmail.com, 1bmx1@tuta.io, ransomsophos@tutanota.com, dr.cryptor@secmail.pro, dr.cryptor@protonmail.com, lepuscrysupp@mail.ee, lepuscrysupp@cock.li, keydecryption@airmail.cc, 5559912@firemail.cc, infoback@criptext.com, infoback@mail.ee, datastore@outlookpro.net, getmydata@cock.li, in0x2@tutanota.com, in0x2@int.pl, ransomwaree2020@cock.li, ransomwaree2021@cock.li, ghiedksjdh6hd@cock.li, sdjhf4df@potronmail.com, harpia2019@aol.com, harpia2019@mailfence.com, unlockfile@firemail.cc, unlockfile@criptext.com, jennymombu@aol.com, jennymombu@firemail.cc, decryption24h@mailfence.com, ezfilesdec@tutanota.com, filesdecrypt@aol.com, helpme2021@aol.com, firmaverileri@bk.ru, sacura889@tutanota.com, sacura889@protonmail.com, anticrypt2021@aol.com, james2020m@aol.com, james2020m@cock.li, jackkarter@gmx.com, jackkarter@cock.li, maykeljakson@cock.li, maykeljakson@criptext.com, basani400@aol.com, basani400@mailfence.com, jonnylow@techmail.info, jonnylow@keemail.me, databankasi@bk.ru, crashonlycash@gmx.com, gracia154@tuta.io, gracia154@cock.li, help4rec@tutanota.com, help4dec@cock.li, coderunlocker@gmail.com, coderunlockerr@gmail.com, howrecover@tutanota.com, recover1@cock.li, mikolio@cock.li, mikolio@xmpp.jp, sharm777@aol.com, sharm777@protonmail.com, boomblack@tutanota.com, boomblack@cock.li, @helpsnow (Telegram), and decphob on Sonar
殺毒軟件檢測(cè)名稱 Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.GenericKD.33855769), ESET-NOD32 (A Variant Of MSIL/GenKryptik.EKSC), Kaspersky (HEUR:Trojan-PSW.MSIL.Agensla.gen), Full List Of Detections (VirusTotal)
進(jìn)程 Battleships (its name may vary)
加密后的形式 Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to unlock your files.
感染途徑 Infected email attachments (macros), torrent websites, malicious ads.