什么是蠕虫病毒？

蠕虫病毒是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据和恶意篡改系统．影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

特点

(一)、较强的独立性

计算机病毒一般都需要宿主程序，病毒将自己的代码写到宿主程序中，当该程序运行时先执行写入的病毒程序，从而造成感染和破坏。而蠕虫病毒不需要宿主程序，它是一段独立的程序或代码，因此也就避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实施攻击。

(二)、利用漏洞主动攻击

由于不受宿主程序的限制，蠕虫病毒可以利用 *** 作系统的各种漏洞进行主动攻击。例如，“尼姆达”病毒利用了IE游览器的漏洞，使感染病毒的邮件附件在不被打开的情况下就能激活病毒；“红色代码”利用了微软IlSl服务器软件的漏洞(idq.dll远程缓存区溢出)来传播；而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。

(三)、传播更快更广

蠕虫病毒比传统病毒具有更大的传染性，它不仅仅感染本地计算机，而且会以本地计算机为基础，感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播，几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此，蠕虫病毒的传播速度可以是传统病毒的几百倍，甚至可以在几个小时内蔓延全球。 [2]

(四)、更好的伪装和隐藏方式

为了使蠕虫病毒在更大范围内传播，病毒的编制者非常注重病毒的隐藏方式。在通常情况下，我们在接收、查看电子邮件时，都采取双击打开邮件主题的方式来浏览邮件内容，如果邮件中带有病毒，用户的计算机就会立刻被病毒感染。

(五)、技术更加先进

一些蠕虫病毒与网页的脚本相结合，利用VBScript，Java，ActiveX等技术隐藏在HTML页面里。当用户上网游览含有病毒代码的网页时，病毒会自动驻留内存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结合，比较典型的是“红色代码病毒”，病毒的传播者可以通过这个程序远程控制该计算机。这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。 [2]

(六)、使追踪变得更困难

当蠕虫病毒感染了大部分系统之后，攻击者便能发动多种其他攻击方式对付一个目标站点，并通过蠕虫网络隐藏攻击者的位置，这样要抓住攻击者会非常困难。

可以先在网上查找有没有解密工具，如果是老款的勒索病毒，有可能是由加密工具放出的。

这里需要的注意一点是，如果找到解密工具，最好是先备份再解密。如果版本不一致，可能会解密失败，但同时文件底层扇区会进行相应的解密修改，导致后期就算找到一致的解密工具或解密秘钥，都是没办法再成功解密的，因为加密信息已经不一致了。

推荐几个解密工具集下载地址：

No More Ransom ：www.nomoreransom.org/zh/index.html

Emsisoft ：www.emsisoft.com/ransomware-decryption-tools/

卡巴斯基：

https://noransom.kaspersky.com/

MalwareHunterTeam ：https://id-ransomware.malwarehunterteam.com/

目前最常见的勒索病毒后缀有：

eking、mallox、sojusz、avast、360、wncry、makop、locked、bozon、fc、lockbit、rook、eight、devos、865qqz、666qqz等等。

被勒索病毒破坏的数据库大多数都是可以修复的，有成熟的解决方案，不用联系黑客付高额赎金解密，而且解密还是有风险的，不一定能成功获取解密程序。

可能由病毒引起。

在文件描述符关掉以后，继续使用这个文件描述符访问

打开文件，获取文件描述符fd（其实是一个整形）

关闭文件

打开sqlite文件，获取文件描述符（碰巧也是）fd

另一个线程继续使用fd，写文件

sqlite文件被损坏

在事务进行过程中，进行数据库备份或恢复

在数据库事务过程中，数据库文件既包括老的内容，也包括新的内容。如果此时拷贝这个文件，数据库可能会被损坏。 备份数据库最好使用sqlite的api。

删除日志文件

日志文件中包括rollback需要的信息。删除以后，无法正确回滚，有可能会导致数据库损坏。

---