计算机病毒的定义：

是一个程序

具有传染性，可以传染其他程序

传染方式是修改其他程序，自身复制嵌入实现

2 计算机病毒的特征：

非授权可执行性

隐蔽性；

传染性

潜伏性

表现性或破坏性

可触发性

3 计算机病毒的危害

直接破坏计算机数据信息

占用磁盘空间和对信息的破坏

抢占系统资源

影响计算机运行速度

病毒错误与不可预见的危害

兼容性对系统运行的影响

给用户造成严重心理压力

4 计算机病毒的结构

病毒的引导模块：引导

病毒的传染模块：扩散 传染

病毒的发作模块：表现

5 计算机病毒的分类

按病毒攻击的系统分类

攻击DOS系统的病毒

攻击windows系统的病毒

攻击UNIX系统的病毒

攻击OS/2系统的病毒

按照病毒的攻击机型分类

攻击微型计算机病毒

攻击小型计算机病毒

攻击工作站的计算机病毒

按照病毒的链接方式分类

源码型病毒 编译前插入

嵌入型病毒：插入

外壳型病毒：包围不修改

操作系统型病毒：加入或取代 圆点 病毒 大麻病毒

按照病毒的破坏情况分类

良性计算机病毒

恶性计算机病毒

按照病毒的寄生方式分类

引导型病毒：大麻病毒 2708病毒 火炬病毒 小球病毒 Girl病毒

文件型病毒：CIH病毒 宏病毒 文档 模板文件

复合型病毒

按照病毒的传播媒介分类：

单机病毒

网络病毒 html病毒

6 网络病毒特点

传染方式多

传播速度比较快

清除难度大

破坏性强

潜在性深

7 计算机病毒检测的主要依据

磁盘主引导扇区

FAT表

中断向量

可执行文件

内存空间

特征串

8 计算机病毒的检测手段

特征代码法：已知病毒

校验和法：未知病毒

行为监测法：

软件模拟法：模拟分析

9 计算机病毒的新特性：

利用微软漏洞主动传播

以多种方式传播

双程序结构

用即时工具传播病毒

局域网内快速传播

病毒与黑客技术融合

应用软件漏洞成为网页挂马的新宠

大量消耗系统与网络资源

10 今后病毒的特点

变形病毒成为下一代病毒首要特点

与internet更加紧密结合

具有混合型特征 集文件传染 蠕虫 木马 黑客程序特点于一身

更加注重欺骗性

利用系统和程序漏洞成为病毒有力的传播方式

11 恶意代码的特征

恶意的目的

本身是程序

通过执行发生作用

12 恶意代码的分类

木马

网络蠕虫

移动代码

复合型病毒

13 恶意代码的关键技术

生存技术： 反跟踪， 加密，模糊变换技术 自动生产技术

攻击技术： 进程注入 三线程 端口复用 对抗检测

隐藏技术：本地隐藏 通信隐藏

14 恶意代码的防范：

及时更新系统，修补安全漏洞

设置安全策略，限制脚本程序的运行

启用防火墙，过滤不必要的服务和系统信息

养成良好的上网习惯

日 Phobos 勒索软件家族Eking勒索病毒较活跃，今天接到一个oracle数据库 勒索病毒加密的案例, 由于DBF文件被全加密，但是可以从加密的DMP备份文件恢复。可以解决问题。

下面是 该病毒的一些资料

Eking属于 Phobos 勒索软件家族。它对文件进行加密，重命名并生成大量勒索消息。Eking通过添加受害者的ID，decphob @ tuta.io电子邮件地址并在文件名后附加“ .eking ”扩展名来重命名文件。例如，它重命名“ 1.JPG ”到“ 1.jpg.id [1E857D00-2275] [decphob@tuta.io] .eking ”， “ 2.JPG ”到“ 2.jpg.id [1E857D00-2275 ]。[decphob@tuta.io] .eking ”，依此类推。它在弹出窗口中显示勒索消息（“ info.hta ”），并在文本文件中创建另一个勒索消息（“ info.txt ”）。

info.hta和info.txt勒索消息指出，受害者必须通过发送电子邮件至decphob@tuta.io或decphob@protonmail.com并等待进一步的指示来联系Eking的开发人员。如果受害者在24小时内未收到答复，则敦促他们通过提供的Tor网站链接与网络犯罪分子联系。它们还提供多达五个文件的免费解密，可以在支付解密费用之前将其发送给Eking的开发人员。不幸的是，没有其他工具可以解密Eking勒索软件破坏的文件-只有Eking的开发人员才拥有有效的解密工具。请注意，即使付款后，勒索软件开发人员也不会发送解密工具/密钥。因此，信任网络罪犯的受害者经常被骗。一般来说，恢复对由于勒索软件攻击而丢失的文件的访问的唯一方法是从备份中还原它们。从操作系统中卸载Eking将阻止进一步的加密，但是，即使删除了勒索软件，已经加密的文件仍然无法访问。

鼓励用户支付赎金以解密其泄露数据的消息的屏幕截图：

还有许多其他勒索软件感染的例子，包括 Koti，ZoNiSoNaL和MR.ROBOT。该软件对数据进行加密，并提供有关如何联系设计数据的网络罪犯，支付赎金和其他信息的说明。共同的区别是勒索软件用来锁定（加密）文件的解密工具/密钥和加密算法（对称或非对称）的成本。在大多数情况下，仅当勒索软件包含错误/缺陷且不完整时，才可以进行免费解密。不幸的是，这种情况很少见。因此，将数据备份到远程服务器（例如Cloud）和/或未插拔的存储设备上非常重要。

勒索软件如何感染我的计算机？

网络罪犯用于传播勒索软件和其他恶意软件的一些最常见方法是通过垃圾邮件活动，假冒软件更新程序，不可信的下载渠道，非官方的软件激活工具和特洛伊木马。他们使用垃圾邮件活动发送包含恶意附件或旨在下载危险文件的网站链接的电子邮件。他们的主要目的是欺骗收件人打开（执行）恶意文件，然后安装恶意软件。这些文件通常是Microsoft Office文档，存档文件（ZIP，RAR），PDF文档，JavaScript文件以及诸如.exe之类的可执行文件。恶意软件还通过伪造的软件更新程序进行传播。通常，非官方的第三方更新工具不会更新/修复任何已安装的软件。他们只是通过利用过时的软件的错误/缺陷来安装恶意软件或感染系统。此外，不受信任的软件下载渠道也可以分发恶意软件。对等网络（例如torrent客户端，eMule，免费文件托管站点，免费软件下载网站和其他类似渠道）通常会导致恶意文件的下载。执行后，这些文件将使用恶意软件感染计算机。请注意，这些文件经常伪装成合法的和常规的。试图免费激活付费软件的人们使用软件“破解”程序，但是，它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序，则可能会造成其他破坏。免费软件下载网站和其他类似渠道通常会导致恶意文件的下载。执行后，这些文件将使用恶意软件感染计算机。请注意，这些文件经常伪装成合法的和常规的。试图免费激活付费软件的人们使用软件“破解”程序，但是，它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序，则可能会造成其他破坏。免费软件下载网站和其他类似渠道通常会导致恶意文件的下载。执行后，这些文件将使用恶意软件感染计算机。请注意，这些文件经常伪装成合法的和常规的。试图免费激活付费软件的人们使用软件“破解”程序，但是，它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序，则可能会造成其他破坏。这些程序供试图免费激活付费软件的人使用，但是，它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序，则可能会造成其他破坏。这些程序供试图免费激活付费软件的人使用，但是，它们经常安装勒索软件类型和其他恶意软件。木马在安装时会传播恶意软件-如果已经安装了这种类型的恶意程序，则可能会造成其他破坏。

详情:
勒索病毒名字 Eking virus
类型 Ransomware, Crypto Virus, Files locker.
加密后的扩展名 .eking
赎金消息文本 info.hta and info.txt
邮件地址 decphob@tuta.io, decphob@protonmail.com, holylolly@airmail.cc, digistart@protonmail.com, greed_001@aol.com, helpmedecoding@airmail.cc, Black_Wayne@protonmail.com, Decryptdatafiles@protonmail.com, supp0rt@cock.li, quickrecovery05@firemail.cc, tsec3x777@protonmail.com, DECRYPTUNKNOWN@Protonmail.com, gluttony_001@aol.com, recoryfile@tutanota.com, ICQ@fartwetsquirrel, jerjis@tuta.io, holylolly@airmail.cc, pride_001@aol.com, kabura@firemail.cc, r4ns0m@tutanota.com, contactjoke@cock.li, moon4x4@tutanota.com, hublle@protonmail.com, clearcom@protonmail.com, chinadecrypt@fasthelpassia.com, paymantsystem@cock.li, Hubble77@tutanota.com, savemyself1@tutanota.com, qirapoo@firemail.cc, yoursjollyroger@cock, raboly@firemail.cc, eight20@protonmail.com, divevecufa@firemail.cc, cyvedira@firemail.cc, filedec@tutanota.com, crioso@protonmail.com, eleezcry@tutanota.com, HELPUNKNOWN@Tutanota.com, decrypt20@vpn.tg, kubura@firemail.cc, rodrigos@keemail.me, chadmad@ctemplar.com, chadmad@nuke.africa, dataencrypted@tutanota.com, itambuler@protonmail.com, itambuler@tutanota.com, dcrptfile@protonmail.com, filesdecrypt@aol.com, davidshelper@protonmail.com, reynoldmuren@tutanota.com, dacowe@firemail.cc, dozusopo@tutanota.com, subik099@tutanota.com, subik099@cock.li, trizvani@aol.com, trizvani@tutanota.com, datashop@list.ru, wugenaxu@firemail.cc, databack@airmail.cc, databack@firemail.cc, moonlight101@tutanota.com, moonlight10@mail.ee, fata52@cock.li, fata54@cock.li, phobos2020@cock.li, phobos2020@tutanota.com, xiaolinghelper@firemail.cc, redsnow911@protonmail.com, surpaking@tutanota.com, surpakings@mail.ee, btcunlock@airmail.cc, btcunlock@firemail.cc, anticrypt2020@aol.com, wiruxa@airmail.cc, yongloun@tutanota.com, anygrishevich@yandex.ru, alonesalem@keemail.me, alonesalem@protonmail.com, encrypted60@tutanota.com, cifrado60@tutanota.com, rantime@tuta.io, ransomtime@cock.li, opticodbestbad@aol.com, opticodbestbad@mail.ee, unlockdata@firemail.cc, onlyway@secmail.pro, jobiden1942@protonmail.com, jonneydep@protonmail.com, forumsystem@cock.li, forumsystem@techmail.info, sdx-2020@tutanota.com, sdx-20200@protonmail.com, encryption2020@aol.com, grootp2@protonmail.com, noobt56@protonmail.com, dragon.save@aol.com, dragon.save@yahoo.com, dragon.save@aol.com, drgreen1@keemail.me, drgreen2@protonmail.com, decryption24h@criptext.com, decryption24h@elude.in, fastwind@mail.ee, fastwind2@protonmail.com, newera@ctemplar.com, newera@tfwno.gf, johnsonz@keemail.me, johnsonz@cock.lu, pandora9@tuta.io, happy@gytmail.com, ghosttm@zohomail.com, falcon360@cock.li, tebook12@protonmail.com, rody_218@protonmail.com, erichhartmann_main@protonmail.com, erichhartmann_reserve@tuta.io, files@restore.ws, covidv19@tutanota.com, dtramp@tuta.io, lexus@gytmail.com, decrypt20@stealth.tg, decrypt20@firemail.cc, dowendowxxx@privatemail.com, ransom1999@tutanota.com, ransom2000@tutanota.com, hellook@gytmail.com, 1bmx1@tuta.io, ransomsophos@tutanota.com, dr.cryptor@secmail.pro, dr.cryptor@protonmail.com, lepuscrysupp@mail.ee, lepuscrysupp@cock.li, keydecryption@airmail.cc, 5559912@firemail.cc, infoback@criptext.com, infoback@mail.ee, datastore@outlookpro.net, getmydata@cock.li, in0x2@tutanota.com, in0x2@int.pl, ransomwaree2020@cock.li, ransomwaree2021@cock.li, ghiedksjdh6hd@cock.li, sdjhf4df@potronmail.com, harpia2019@aol.com, harpia2019@mailfence.com, unlockfile@firemail.cc, unlockfile@criptext.com, jennymombu@aol.com, jennymombu@firemail.cc, decryption24h@mailfence.com, ezfilesdec@tutanota.com, filesdecrypt@aol.com, helpme2021@aol.com, firmaverileri@bk.ru, sacura889@tutanota.com, sacura889@protonmail.com, anticrypt2021@aol.com, james2020m@aol.com, james2020m@cock.li, jackkarter@gmx.com, jackkarter@cock.li, maykeljakson@cock.li, maykeljakson@criptext.com, basani400@aol.com, basani400@mailfence.com, jonnylow@techmail.info, jonnylow@keemail.me, databankasi@bk.ru, crashonlycash@gmx.com, gracia154@tuta.io, gracia154@cock.li, help4rec@tutanota.com, help4dec@cock.li, coderunlocker@gmail.com, coderunlockerr@gmail.com, howrecover@tutanota.com, recover1@cock.li, mikolio@cock.li, mikolio@xmpp.jp, sharm777@aol.com, sharm777@protonmail.com, boomblack@tutanota.com, boomblack@cock.li, @helpsnow (Telegram), and decphob on Sonar
杀毒软件检测名称 Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.GenericKD.33855769), ESET-NOD32 (A Variant Of MSIL/GenKryptik.EKSC), Kaspersky (HEUR:Trojan-PSW.MSIL.Agensla.gen), Full List Of Detections (VirusTotal)
进程 Battleships (its name may vary)
加密后的形式 Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to unlock your files.
感染途径 Infected email attachments (macros), torrent websites, malicious ads.