Skip to main content

Windows 10 ochrana proti útokom Depriz Malware

Windows 10 ochrana proti útokom Depriz Malware

Geoffrey Carr

Zvyšujúca sa závislosť od počítačov spôsobuje, že sú náchylné na počítačové útoky a iné škodlivé návrhy. Nedávny incident v stredný východ kde sa viaceré organizácie stali obeťami cielených a ničivých útokov (Depriz Malware útok), ktorý vymazal dáta z počítačov, predstavuje záhadný príklad tohto úkonu.

Depriz Malware Attacks

Väčšina problémov súvisiacich s počítačom je nezvaná a spôsobuje obrovské zamýšľané škody. To môže byť minimalizované alebo odvrátené, ak existujú vhodné bezpečnostné nástroje. Našťastie tímy Windows Defender a Windows Defender poskytujú komplexnú ochranu, detekciu a reakciu na tieto hrozby nepretržite.

Spoločnosť Microsoft uviedla, že infekčný reťazec Depriz je spustený spustiteľným súborom napísaným na pevný disk. Obsahuje najmä škodlivé súbory, ktoré sú zakódované ako falošné bitmapové súbory. Tieto súbory sa začnú šíriť po sieti podniku po spustení spustiteľného súboru.

Identita nasledujúcich súborov bola odhalená ako falošné bitmapové obrázky trojského koľají, keď boli dekódované.

  1. PKCS12 - deštruktívny komponent stieračov diskov
  2. PKCS7 - komunikačný modul
  3. X509 - 64-bitový variant trójskeho / implantátu

Nástroj Depriz malware potom prepíše dáta do databázy konfigurácie databázy Registry systému Windows a do systémových adresárov so súborom obrázkov. Tiež sa pokúša zakázať vzdialené obmedzenia UAC nastavením hodnoty kľúča databázy Registry LocalAccountTokenFilterPolicy na hodnotu "1".

Výsledok tejto udalosti - akonáhle sa to stane, malware sa pripája k cieľovému počítaču a skopíruje sa ako% System% ntssrvr32.exe alebo% System% ntssrvr64.exe pred nastavením vzdialenej služby s názvom "ntssv" úloha.

Nakoniec, škodlivý softvér Depriz nainštaluje súčasť stieracieho stroja ako %% System .exe, Môže tiež použiť iné mená na napodobnenie názvov súborov legitímnych systémových nástrojov. Komponent stierača obsahuje kódované súbory vo svojich zdrojoch ako falošné bitmapové obrázky.

Prvý zakódovaný prostriedok je legitímny ovládač s názvom RawDisk od spoločnosti Eldos Corporation, ktorý umožňuje prístupu prvotriedneho disku k užívateľskému režimu. Ovládač je uložený do počítača ako % System% drivers drdisk.sys a nainštalovať tak, že vytvorí službu, ktorá na ňu smeruje pomocou "sc create" a "sc start". Malware sa okrem toho pokúša prepísať údaje používateľov do rôznych priečinkov, ako je napríklad pracovná plocha, súbory na prevzatie, obrázky, dokumenty atď.

Nakoniec, keď sa po vypnutí počítača pokúsite reštartovať počítač, odmietne sa načítať a nie je schopný nájsť operačný systém, pretože MBR bol prepísaný. Zariadenie už nie je v správnom stave. Našťastie používatelia systému Windows 10 sú v bezpečí, pretože operačný systém obsahuje zabudované proaktívne bezpečnostné komponenty, ako je Device Guard, ktoré zmierňujú túto hrozbu obmedzením vykonávania dôveryhodných aplikácií a ovládačov jadra.

Navyše, Ochranca systému Windows detekuje a opravuje všetky komponenty na koncové body ako Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha a Trojan: Win32 / Depriz.D! dha.

Dokonca aj vtedy, keď k útoku došlo, Windows Defender Advanced Threat Protection (ATP) to dokáže zvládnuť, pretože je bezpečnostnou službou po porušení, ktorá je určená na ochranu, detekciu a reakciu na takéto nechcené hrozby v systéme Windows 10, hovorí Microsoft.

Celý incident týkajúci sa útoku škodlivého softvéru Depriz sa objavil, keď počítačové počítače v neoficiálnych ropných spoločnostiach v Saudskej Arábii boli po útoku na škodlivý softvér znehodnotené. Spoločnosť Microsoft nazvala škodlivý softvér "Depriz" a útočníkmi "Terbium", podľa vnútornej praxe spoločnosti pri označovaní subjektov ohrozujúcich hrozby za chemické prvky.

Link
Plus
Send
Send
Pin