勒索病毒eking.devos.mkp.makop.lockbit.eight.locked.roger等剖析及中毒文件恢复

黑客攻击手段非常多，这里说一个常见的渗透攻击。
     根据分析黑客通过对SQL Server数据库进行渗透攻击的方式投放勒索病毒，攻击成功后，下发各种恶意程序并执行Powershell命令来下载、执行勒索模块。
      SQL Server是微软公司推出的关系型数据库系统，在个人和企业PC上应用广泛，一旦黑客攻陷该数据库，即会对用户产生直接的数据安全威胁。
      所以从实际情况中发现安装SQL Server数据库电脑容易受到工击，最无奈的是市面上很多软件系统都是使用这个数据库软件，核心数据都存放在这个软件中。

      黑客执行下发的SQL Server命令来下载执行恶意模块（木马/漏洞利用程序等），通过漏洞利用程序提权并执行Powershell相关命令来下载勒索病毒加密软件模块。当Powershell提权被掌控执行相关命令电脑就已经失守了，入侵成功了。

  很多人疑问电脑装了杀毒软件怎么也不管用，其实你仔细想想，电脑都被别人掌控了，正常退出杀毒软件不是很简单的事情吗？在执行完病毒加密程序以后，有些会自动销毁病毒程序，所以事后装杀毒软件也查杀不到任何病毒，被加密的文件本身不携带病毒，只是内容被篡改了而已。有些会留加密程序在电脑中，并且设置开机自启动，所以当接触新的文件时会继续执行加密，也导致无法安装新的杀毒软件。

勒索软件有很多种类，其用的加密算法也有区别。
一种：有些病毒专门这对重要的文件（例如数据库相关文件mdf,dbf,frm,sql等等）进行全加密，然后针对普通问题（例如图片jpg文档doc）就是部分加密达到破坏文件格式。

二种：大部分病毒是统一的加密方式，对重要的数据库文件和图片文档，都是加密部分，估计是考虑到加密效率和稳定性。

三种：所有文件都是全加密。

但是不管是那种情况，其采用的加密算法都是非常复杂的，对称加密和非对称加密及秘钥非对称加密保护，因为算法复杂又没有漏洞可破，所以想破解文件加密算法是不现实的。

     当前有少部分病毒的加密算法可以破解恢复，360就提供了几百种病毒免费测试解密，https://lesuobingdu.360.cn/ ,可自行测试，如果能解密成功那就太幸运了。如果解不了，对于数据库文件好像能进行技术提取碎片修复，挺专业的一种手段。之前阅读过一篇博文https://pangniao.netlify.app/index.html，其中有介绍到可以参考看看是否能有帮助。笔者是学到了很多有用的东西。

    看到这里或许心都凉一节了吧，病毒这么厉害，该怎么办呀？杀毒软件也没点用。其实也不用太灰心，很多中病毒后损失惨重是因为重要数据丢失，找不回来了。所以我们一来是想着怎么来保护电脑增强防范，二来是如何保护数据。
     也不要太看不起杀毒软件了，它们很厉害的，只是看你会不会用。对于数据保护还是得想办法做异地备份，最好考虑到隔离备份。这些细节上面的博客https://pangniao.netlify.app里面好像都有介绍到，就不费时间打字了。有很多常用工具可以用起来，网盘、杀毒软件之类的，但是要会选，会用。百度网盘常规备份文件就很好会员费也不高，360杀毒性能强就是占资源大，火绒安全防护做的很到位占资源小，防护配置上博客中好像也有介绍，你们都可以按需求选用。

对了如果需转载，请备注原文地址哦，谢谢。