勒索病毒攻击新玩法-先盗数据再勒索 (勒索病毒攻击方式)

2019年是勒索病毒团伙针对企业进行勒索攻击爆发的一年，全球多个国家的政府组织机构、企事业单位都成为了勒索病毒团伙攻击的目标，勒索病毒也成为了网络安全最大的网络安全威胁，新的勒索病毒不断涌现，旧的勒索病毒不断变种，2019年马上结束了，然而勒索病毒攻击却更加频繁，全球似乎每天都有勒索病毒攻击的新闻出现，最近两款勒索病毒攻击团伙，又使用了新的玩法，先利用恶意软件盗取企业数据，再使用勒索病毒加密企业数据，不交赎金就公布企业的数据，逼迫勒索病毒的受害者交赎金解密，勒索病毒团伙已经开始“打家劫舍 敲诈勒索”……

Maze勒索病毒团伙向Southwire勒索600万美元的赎金，Southwire是北美领先的电线电缆制造商之一，拥有7,500多名员工，2018年的收入为61亿美元，超过了2017年的55亿美元。这家电线制造商也在《福布斯》美国最大的私人公司名单中，如果Southwire不交赎金，Maze勒索病毒团伙会在网站上公布该公司的数据，Maze勒索病毒团伙试图利用这种方法，逼迫受害者交赎金

Maze勒索病毒团伙在互联网上创办了一个专用网站，并在该网站上公布了一些受害者的信息，如下所示：

最近Maze勒索病毒团伙，再次更新其受害者名单和企业相关数据文件，如下所示：

Southwire数据泄露的时间为:2019年12月9日，泄露的数据大小为：120GB

DV-GROUP数据泄露的时间为:2019年12月1日，泄露的数据大小：7GB

Fratelli Beretta数据泄露的时间为：2019年12月1日，泄露的数据大小：3GB (以上数据均来自网络，不保证数据的准确性)，受害者名单可能还会继续更新……

2020年这种新的攻击方法，会不会也被更多勒索病毒团伙效仿流行起来，先利用恶意软件盗取企业的数据，再投放勒索病毒进行加密，目前Sodinokibi勒索病毒团伙似乎对这种新的玩法表示感兴趣，此前安全研究人员在分析这款勒索病毒的时候，发现这款勒索病毒在感染勒索病毒的过程中，有盗取企业数据的可疑行为

同时最近国外安全研究人员又发布了一款新型勒索病毒攻击案例，该勒索病毒攻击会先利用Azorult窃密木马盗取企业的数据，再通过Zeppelin勒索病毒加密勒索企业，如下所示：

这款最新的勒索病毒变种，同时被国外一家安全公司发现并进行了详细分析报道，该勒索病毒利用ConnectWise Control(ScreenConnect)远程桌面应用软件进行传播，其攻击流程，如下所示：

同时安全研究人员发现此次攻击使用了Vidar窃密木马盗取受害者数据，然后再使用Zeppelin勒索病毒变种加密文件，报告链接：

Zeppelin勒索病毒是一款基于Delphi语言编写的，采用RaaS(勒索即服务)模式分发的勒索病毒，最初此勒索病毒称为Vega或VegaLocker，Vega勒索病毒最早于2019年初首次被发现，Vega勒索病毒在一年的时间内，不断变种，后面又出现了它的几个不同的变种版本，例如：Jamper(Jumper)勒索病毒、Storm勒索病毒，Buran勒索病毒，都是属于Vega勒索病毒的变种版本，最新的变种Zeppelin勒索病毒具有很高的可配置性，可以部署为EXE、DLL或使用PowerShell加载器加载，使用PowerShell加载的Zeppelin勒索病毒的样本大多托管在Pastebin上(这个网站上面托管了大量的恶意软件)，此勒索病毒变种版本的勒索提示信息文件!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT，内容如下所示：

Zeppelin勒索病毒是Vega勒索病毒家族中最新的一款勒索病毒，此家族之前最新的变种是Buran勒索病毒，通过多种方式进行传播，Vega勒索病毒家族的勒索提示信息文件，内容类似如下所示：

Zeppelin勒索病毒与Buran勒索病毒同属于Vega(VegaLocker)勒索病毒家族，Zepplelin勒索病毒算是Buran勒索病毒的最新变种，目前发现的几例Zeppelin勒索病毒攻击传播的过程中都使用了窃密类木马程序，盗取受害者数据，再使用Zeppelin勒索病毒加密勒索受害者。

勒索病毒攻击变的越来越有针对性，技术也越来越成熟，使用的攻击方法和方式也在不断更新，一些技术成熟的黑客组织也加入到勒索病毒攻击的行业当中，Sodinokibi勒索病毒团伙一直在招募经验丰富的黑客加入其组织，根据网络安全公司Coveware Inc.的数据，随着攻击变得更加频繁，受害者在2019年第三季度向黑客支付的用于恢复其数据的平均费用从一年前的约6,000美元增至约41,000美元,网络安全公司Emsisoft上周表示，今年美国针对政府机构，教育机构和医疗保健提供者的勒索病毒攻击造成的损失估计至少达75亿美元，可想而知，全球因为勒索病毒的攻击而造成的损失有多大了，勒索病毒攻击已经成为全球最大的网络安全威胁。

2019年10月9号总部设在荷兰海牙的欧洲刑警组织与国际刑警组织共同发布报告《2019互联网有组织犯罪威胁评估》，报告指出数据已成为网络犯罪分子的主要攻击目标，针对企业数据的攻击，主要方式为：盗取、破坏，此前勒索病毒攻击主要以破坏数据，勒索受害者为主，通过交赎金的方式获取暴利，Maze勒索病毒采用了以公开企业数据来逼迫受害者交赎金的方式，未来会不会被更多的勒索病毒团伙效仿Maze勒索病毒的方式，先利用恶意程序盗取企业数据，再使用勒索病毒加密文件进行勒索，然后再通过公布企业数据的方式，逼迫企业交赎金

预测勒索病毒攻击在明年可能会越来越多，而且使用的攻击手法会越来越复杂，攻击也会越来越具有针对性和目的性，不排除未来会有更多的新型黑客组织或者成熟的黑客组织加入进来，通过勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利，各企业要做好相应的防范措施，提高自身员工的安全意识，以防中招

EXPLORER.EXE应用程序错误.

“0x????????”指令引用的“0x????????”内存。 该内存不能为“read”。 “0x????????”指令引用的“0x????????”内存，该内存不能为“written”。 以上的情况相信大家都应该见到过，甚至说一些网友因为不爽于这个经常出现的错误提示而屡次重装系统。 相信普通用户应该不会理解那些复杂的十六进制代码。 出现这个现象有方面的，一是硬件，即内存方面有问题，二是软件，这就有多方面的问题了。 一.先说说硬件： 一般来说，电脑硬件是很不容易坏的。 内存出现问题的可能性并不大（除非你的内存真的是杂牌的一塌徒地），主要方面是： 1。 内存条坏了（二手内存情况居多） 2。 使用了有质量问题的内存。 3。 内存插在主板上的金手指部分灰尘太多。 4。 使用不同品牌不同容量的内存，从而出现不兼容的情况。 5。 超频带来的散热问题。 你可以使用MemTest 这个软件来检测一下内存，它可以彻底的检测出内存的稳定度。 二、如果都没有，那就从软件方面排除故障了。 先说原理：内存有个存放数据的地方叫缓冲区，当程序把数据放在缓冲区，需要操作系统提供的“功能函数”来申请，如果内存分配成功，函数就会将所新开辟的内存区地址返回给应用程序，应用程序就可以通过这个地址使用这块内存。 这就是“动态内存分配”，内存地址也就是编程中的“光标”。 内存不是永远都招之即来、用之不尽的，有时候内存分配也会失败。 当分配失败时系统函数会返回一个0值，这时返回值“0”已不表示新启用的光标，而是系统向应用程序发出的一个通知，告知出现了错误。 作为应用程序，在每一次申请内存后都应该检查返回值是否为0，如果是，则意味着出现了故障，应该采取一些措施挽救，这就增强了程序的“健壮性”。 若应用程序没有检查这个错误，它就会按照“思维惯性”认为这个值是给它分配的可用光标，继续在之后的执行中使用这块内存。 真正的0地址内存区储存的是计算机系统中最重要的“中断描述符表”，绝对不允许应用程序使用。 在没有保护机制的操作系统下(如DOS)，写数据到这个地址会导致立即当机，而在健壮的操作系统中，如Windows等，这个操作会马上被系统的保护机制捕获，其结果就是由操作系统强行关闭出错的应用程序，以防止其错误扩大。 这时候，就会出现上述的内存不能为“read”错误，并指出被引用的内存地址为“0x“。 内存分配失败故障的原因很多，内存不够、系统函数的版本不匹配等都可能有影响。 因此，这种分配失败多见于操作系统使用很长时间后，安装了多种应用程序(包括无意中“安装”的病毒程序)，更改了大量的系统参数和系统档案之后。 在使用动态分配的应用程序中，有时会有这样的情况出现：程序试图读写一块“应该可用”的内存，但不知为什么，这个预料中可用的光标已经失效了。 有可能是“忘记了”向操作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。 注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写操作也同样会触发系统的保护机制，企图“违法”的程序唯一的下场就是被操作终止执行，回收全部资源。 计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的操作顺序下重现错误。 无效光标不一定总是0，因此错误提示中的内存地址也不一定为“0x”，而是其它随机数字。 首先建议： 1、 检查系统中是否有木马或病毒。 这类程序为了控制系统往往不负责任地修改系统，从而导致操作系统异常。 平常应加强信息安全意识，对来源不明的可执行程序绝不好奇。 2、 更新操作系统，让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。 有时候操作系统本身也会有BUG，要注意安装官方发行的升级程序。 3、 尽量使用最新正式版本的应用程序、Beta版、试用版都会有BUG。 4、 删除然后重新创建 Winnt\System32\Wbem\Repository 文件夹中的文件：在桌面上右击我的电脑，然后单击管理。 在服务和应用程序下，单击服务，然后关闭并停止 Windows Management Instrumentation 服务。 删除 Winnt\System32\Wbem\Repository 文件夹中的所有文件。 （在删除前请创建这些文件的备份副本。 ） 打开服务和应用程序，单击服务，然后打开并启动 Windows Management Instrumentation 服务。 当服务重新启动时，将基于以下注册表项中所提供的信息重新创建这些文件： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\Autorecover MOFs

我的电脑图标不见了怎么办？

班沙克[圣人] 一.　软件方面的原因1、IDE驱动程序安装错误或与某个驱动程序有冲突如果我们在安装WINDOWS没有将IDE驱动程序正确安装，或者在安装后当你打开设备管理器查看“硬盘控制器“时发现其中有黄色叹号时，这时光驱的盘符就可能找不到了。 在正常情况下，当我们进入安全模式时，光驱的盘符是不会有的。 如果我们想在安全模式下使用光驱，我们可以在和文件中加载光驱的驱动，这样我们在重新启动电脑后，就可以在安全模式下使用光驱了。 2、CONFIG文件中设置LASTDRIVE数量设置太少如果我们在CONFIG。 SYS文件中设置了“LASTDRIVE＝？”的数量太少，小于实际的驱动器数量，这时即使我们安装了光驱，但在“我的电脑“中了看不到光驱的影子。 这时只要去掉该项设置或设置为“LASTDRIVE=Z”即可。 3、DMA设置不当如果光驱只支持PIO4标准，不支持DMA／33标准，而我们却强行让光驱使用该标准(在“我的电脑”属性中“设备管理器”中光驱“CDROM”属性中“设置”选项的“DMA”前打“√”)。 这时有时会造成光驱丢失，有时会造成电脑不能正常启动。 这时我们可以进入安全模式，将CDROM属性中的DMA设置去掉就可以了。 我们所使用的硬盘或者光驱具体支持何种数据传输模式，我们在计算机启动过程中的第二屏的基本配置表中可以看到。 4、光驱在注册表里被恶意屏蔽掉了在“我的电HKEY＿CURRENT＿USER/Software/Microsoft/Windows/CurrentVrsion/Polices/xplorer中的“NoDrivers“的二进制值是否是光驱的值。 正常情况下没有该项，也可将该项值改为“00 00 00 00“(01 00 00 00为A，04 00 00 00为C，FF FF FF FF为隐藏所有驱动器)。 注意;现在有的病毒专门更改注册表，使光驱盘符丢失，。 有的病毒不会使光驱盘符丢失，但是会禁止光驱读盘，什么样的光盘也不能读，但在却能够用光盘启动。 5、光驱的驱动是否安装正确　通常在WINDOWS中都自带了光驱的驱动，不需要另外添加。 如果光驱的驱动程序安装的不是它自己的驱动程序，也会出现光驱丢失的情况。 这种情况的出现一般是添加了所谓的“优化”、“加速程序”或者其他程序。 这时可进入安全模式将“设备管理器“中的“CDROM“选项删除，然后重新启动计算机，让系统自己发现新硬件重新安装光驱的驱动即可。 6、CMOS设置不当如果在CMOS设置中传输模式设置有误--不支持PIO MODE3或PIO MODE4或者DMA／33的老光驱便会在WINDOWS中出现没有光驱的图标，无光驱可用。 这时只需要进入CMOS中将“INTEGRATED PERIPHERAIS“项，将“IDE PRIMARY MASTER PIO(或UDMA)“和“IDE PRIMARY SLAVE PIO(或UDMA)“改为“AUTO“即可。 7.使用虚拟光驱不当虚拟光驱可以避免频繁读取光盘，提高读取速度，为我们方便的玩光盘游戏提供了可能。 不过有时我们在不想使用虚拟光驱程序时，想卸载它或者想安装最新的程序时，却出现了意外，虚拟光驱的盘符有，实际光驱的盘符却丢失了。 二.硬件方面的原因1、数据线接反或者数据线损坏　在光驱丢失时，应首先检查一下光驱的数据线是否接反了，是否有松动。 如果在确定其他地方没有问题时，并且光驱的数据线经常移动，这时应该更换一条数据线试一试。 2、跳线设置与硬盘有冲突当光驱的跳线和在同一条数据线上连接的硬盘相同时就会出现找不到光驱(也可能没有硬盘)，这时只要将光驱的跳线跳成和硬盘不一样即可。 为了提高数据传输率，最好将硬盘和光驱分开在两个IDE接口上。 3、电源线故障，缺少+5V电压或+5V电压供电不正常这种情况不多出现。 由于我们在拆装光驱或者硬盘时用力过大，使电源的D型插头松动或者由于电脑工作环境的恶劣插头氧化生锈，光驱的电源供给不是很正常,光驱便也发现不了。 4、IDE接口损坏如果是突然出现光驱的盘符丢失，无法使用光驱，这时我们可以把光驱和硬盘的接口互换一下。 如果再次启动后发现能够找到光驱，但却找不到硬盘，这说明是原来接光驱的IDE接口损坏了；如果互换后电脑能够正常启动，但仍旧没有光驱，这说明是光驱自身的原因，造成的光驱盘符丢失，这时只能更换光驱。 如果在WINDOWS下没有光驱，我们还可以在DOS(重新启动电脑后按F8进DOS，而非WIN98下的DOS)下用WINDOWS的万能光驱驱动来试着加载光驱，如果能够加载成功，说明是软件方面的原因，应主要从软件方面查找原因。 否则就应从硬件方面来考虑。 三.光驱常见故障分析1.系统自检时能够检测到光驱，但在Windows操作系统下却没有发现光驱盘符。 故障分析：出现这种情况的可能性主要有几种：A.在安全模式下进入了操作系统、B.机器感染了病毒、操作系统自带的光驱驱动程序失效。 解决方法：由于在安全模式下的操作系统不加载任何驱动程序，因此找不到光驱是正常现象。 我们这里只说后两种，如果排除了病毒原因还找不到光驱盘符的话，可采用以下几种方法：①、使用“超级兔子”中“系统工具”光驱修复工具进行修复。 ②. 进入控制面板，选择“添加新硬件”，然后根据提示一步一步往下做，当系统检查完毕之后，一般能找到光驱；或者;进入控制面板，选择“设备管理器“，将其中的”硬盘控制器“项删除，然后重新启动计算机。 由于光驱与硬盘采用同一个控制器，因此当将其删除并重新启动后就会自动进行识别，一般就能找回光驱的盘符；③、如若以上办法不行，可以先在DOS模式下驱动光驱，例如加载万能光驱驱动程序来解决。

“0x1001fdle指令引用的0x1001fdle内存。该内存不能为read。”怎样处理？

1、驱动不稳定，与系统不兼容，这最容易出现内存不能为 Read 或者文件保护2、系统安装了一个或者多个流氓软件，这出现 IE 或者系统崩溃的机会也比较大，也有可能出现文件保护3、系统加载的程序或者系统正在运行的程序之前有冲突，尤其是部分杀毒软件监控程序4、系统本身存在漏洞，导致容易受到网络攻击。 5、病毒问题也是主要导致内存不能为 Read、文件保护、 错误……6、如果在玩游戏时候出现内存不能为 Read，则很大可能是显卡驱动不适合（这里的不适合有不适合该游戏、不适合电脑的显卡），也有可能是 DX9.0C 版本不够新或者不符合该游戏、显卡驱动7、部分软件本身自身不足的问题8、电脑硬件过热，也是导致内存不能为 Read 的原因为 Read 的致命原因！■ 此问题网上流传一种简单的解决方法：1、在开始－运行里输入CMD确定，在命令行窗口下输入以下内容后按回车for %1 in (%windir%\system32\*) do regsvr32 /s %1完了后，再输入以下内容并回车for %1 in (%windir%\system32\*) do regsvr32 /s %1这个要好久，耐心等候，但也可能需要重启后整个效果才会出来。