Zvyšujúca sa závislosť od počítačov spôsobuje, že sú náchylné na počítačové útoky a iné škodlivé návrhy. Nedávny incident v stredný východ kde sa viaceré organizácie stali obeťami cielených a ničivých útokov (Depriz Malware útok), ktorý vymazal dáta z počítačov, predstavuje záhadný príklad tohto úkonu.
Depriz Malware Attacks
Väčšina problémov súvisiacich s počítačom je nezvaná a spôsobuje obrovské zamýšľané škody. To môže byť minimalizované alebo odvrátené, ak existujú vhodné bezpečnostné nástroje. Našťastie tímy Windows Defender a Windows Defender poskytujú komplexnú ochranu, detekciu a reakciu na tieto hrozby nepretržite.
Spoločnosť Microsoft uviedla, že infekčný reťazec Depriz je spustený spustiteľným súborom napísaným na pevný disk. Obsahuje najmä škodlivé súbory, ktoré sú zakódované ako falošné bitmapové súbory. Tieto súbory sa začnú šíriť po sieti podniku po spustení spustiteľného súboru.
- PKCS12 - deštruktívny komponent stieračov diskov
- PKCS7 - komunikačný modul
- X509 - 64-bitový variant trójskeho / implantátu
Nástroj Depriz malware potom prepíše dáta do databázy konfigurácie databázy Registry systému Windows a do systémových adresárov so súborom obrázkov. Tiež sa pokúša zakázať vzdialené obmedzenia UAC nastavením hodnoty kľúča databázy Registry LocalAccountTokenFilterPolicy na hodnotu "1".
Výsledok tejto udalosti - akonáhle sa to stane, malware sa pripája k cieľovému počítaču a skopíruje sa ako% System% ntssrvr32.exe alebo% System% ntssrvr64.exe pred nastavením vzdialenej služby s názvom "ntssv" úloha.
Nakoniec, škodlivý softvér Depriz nainštaluje súčasť stieracieho stroja ako %% System
Prvý zakódovaný prostriedok je legitímny ovládač s názvom RawDisk od spoločnosti Eldos Corporation, ktorý umožňuje prístupu prvotriedneho disku k užívateľskému režimu. Ovládač je uložený do počítača ako % System% drivers drdisk.sys a nainštalovať tak, že vytvorí službu, ktorá na ňu smeruje pomocou "sc create" a "sc start". Malware sa okrem toho pokúša prepísať údaje používateľov do rôznych priečinkov, ako je napríklad pracovná plocha, súbory na prevzatie, obrázky, dokumenty atď.
Nakoniec, keď sa po vypnutí počítača pokúsite reštartovať počítač, odmietne sa načítať a nie je schopný nájsť operačný systém, pretože MBR bol prepísaný. Zariadenie už nie je v správnom stave. Našťastie používatelia systému Windows 10 sú v bezpečí, pretože operačný systém obsahuje zabudované proaktívne bezpečnostné komponenty, ako je Device Guard, ktoré zmierňujú túto hrozbu obmedzením vykonávania dôveryhodných aplikácií a ovládačov jadra.
Navyše, Ochranca systému Windows detekuje a opravuje všetky komponenty na koncové body ako Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha a Trojan: Win32 / Depriz.D! dha.
Celý incident týkajúci sa útoku škodlivého softvéru Depriz sa objavil, keď počítačové počítače v neoficiálnych ropných spoločnostiach v Saudskej Arábii boli po útoku na škodlivý softvér znehodnotené. Spoločnosť Microsoft nazvala škodlivý softvér "Depriz" a útočníkmi "Terbium", podľa vnútornej praxe spoločnosti pri označovaní subjektov ohrozujúcich hrozby za chemické prvky.
