Windows 10-beskyttelse mot Depriz Malware Attacks

Innholdsfortegnelse:

Windows 10-beskyttelse mot Depriz Malware Attacks
Windows 10-beskyttelse mot Depriz Malware Attacks

Video: Windows 10-beskyttelse mot Depriz Malware Attacks

Video: Windows 10-beskyttelse mot Depriz Malware Attacks
Video: Office Lens Immersive Reader - #01 - YouTube 2024, Mars
Anonim

Økende avhengighet av datamaskiner har gjort dem utsatt for cyberangrep og andre dårlige design. En nylig hendelse i Midtøsten fant sted, hvor flere organisasjoner ble offer for målrettede og ødeleggende angrep (Depriz Malware angrep) som slettet data fra datamaskiner gir et glimrende eksempel på denne handlingen.

Depriz Malware Attacks

De fleste datarelaterte problemer kommer ubudne og forårsaker store planlagte skader. Dette kan minimeres eller avverges hvis det finnes passende sikkerhetsverktøy på plass. Heldigvis gir Windows Defender og Windows Defender Advanced Threat Protection Threat Intelligence-team døgnet rundt beskyttelse, gjenkjenning og respons på disse truslene.

Microsoft observerte at Depriz-infeksjonskjeden er satt i bevegelse av en kjørbar fil skrevet til en harddisk. Den inneholder hovedsakelig malware-komponentene som er kodet som falske bitmap-filer. Disse filene begynner å spre seg over nettverket til et foretak, når den kjørbare filen er kjørt.

Identiteten til følgende filer ble avslørt som trojanske falske bitmap-bilder når de dekodes.
Identiteten til følgende filer ble avslørt som trojanske falske bitmap-bilder når de dekodes.
  1. PKCS12 - en destruktiv diskviskerkomponent
  2. PKCS7 - en kommunikasjonsmodul
  3. X509 - 64-biters variant av Trojan / implantatet

Depriz malware overskriver deretter data i Windows-registerkonfigurasjonsdatabasen, og i systemkataloger, med en bildefil. Det forsøker også å deaktivere UAC-fjernbegrensninger ved å sette registernøkkelverdien LocalAccountTokenFilterPolicy til "1".

Resultatet av denne hendelsen - når dette er gjort, kobler malware til målcomputeren og kopierer seg selv som% System% ntssrvr32.exe eller% System% ntssrvr64.exe før du angir enten en ekstern tjeneste kalt "ntssv" eller en planlagt oppgave.

Endelig installerer Depriz malware torkerkomponenten som %System%.exe. Det kan også bruke andre navn til å etterligne filnavn på legitime systemverktøy. Viskerkomponenten har kodede filer i sine ressurser som falske bitmapbilder.

Den første kodede ressursen er en legitim driver som heter RawDisk fra Eldos Corporation, som tillater en tilgang til brukermodus-komponentens raw-disk. Driveren er lagret på datamaskinen som % System% drivers drdisk.sys og installert ved å opprette en tjeneste som peker på den ved hjelp av "sc create" og "sc start". I tillegg til dette forsøker malware også å overskrive brukerdata i forskjellige mapper som skrivebord, nedlastinger, bilder, dokumenter, etc.

Til slutt, Når du forsøker å starte datamaskinen på nytt etter å ha slått av, nekter den bare å laste og kan ikke finne operativsystemet fordi MBR ble overskrevet. Maskinen er ikke lenger i en tilstand for å starte opp riktig. Heldigvis er Windows 10-brukere trygge, siden operativsystemet har en innebygd proaktiv sikkerhetskomponent, for eksempel Device Guard, som reduserer denne trusselen ved å begrense kjøring til pålitelige applikasjoner og kjernedrivere.

I tillegg, Windows Defender oppdager og reparerer alle komponenter på endepunkter som Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha og Trojan: Win32 / Depriz.D!

Selv om et angrep har oppstått, kan Windows Defender Advanced Threat Protection (ATP) håndtere det, siden det er en sikkerhetstjeneste etter brudd som er designet for å beskytte, oppdage og svare på slike uønskede trusler i Windows 10, sier Microsoft.
Selv om et angrep har oppstått, kan Windows Defender Advanced Threat Protection (ATP) håndtere det, siden det er en sikkerhetstjeneste etter brudd som er designet for å beskytte, oppdage og svare på slike uønskede trusler i Windows 10, sier Microsoft.

Hele hendelsen angående Depriz malware-angrep kom i lys når datamaskiner på unnamed oljeselskaper i Saudi-Arabia ble gjort ubrukelige etter et malware-angrep. Microsoft dirigerte malware "Depriz" og angriperne "Terbium", i henhold til selskapets interne praksis for å navngi trusselskuespillere etter kjemiske elementer.

Anbefalt: