<link rel = "stylesheet" id = "gtranslate-style-css" href = "https://websetnet.b-cdn.net/wp-content/plugins/gtranslate/gtranslate-style24.css" type = "text / css "media =" all ">

Windows 10 ochrany proti útokům typu Depriz Malware

Zvyšující se závislost na počítačích je činí náchylnými k počítačovým útokům a dalším hanebným návrhům. Nedávný incident v střední východ kde se několik organizací stalo oběťmi cílených a ničivých útoků (Depriz Malware útok), který vymazal data z počítačů, představuje příklad tohoto úkonu.

Depriz Malware Attacks

Většina problémů souvisejících s počítačem je nezvaná a způsobuje obrovské zamýšlené škody. To může být minimalizováno nebo odvráceno, pokud existují příslušné nástroje zabezpečení. Naštěstí týmy Windows Defender a Windows Defender Advanced Threat Protection Intelligence poskytují nepřetržitou ochranu, detekci a reakci na tyto hrozby.

Společnost Microsoft shledala, že řetězec infekce Depriz je spuštěn spustitelným souborem napsaným na pevný disk. Obsahuje převážně škodlivé komponenty, které jsou zakódovány jako falešné bitmapové soubory. Tyto soubory se po spuštění spustitelného souboru začnou rozšiřovat po celé síti podniku.

Depriz Malware Attacks

Identita následujících souborů byla při dekódování odhalena jako falešné bitmapové obrázky trojského koně.

  1. PKCS12 - destruktivní součást stěrače disku
  2. PKCS7 - komunikační modul
  3. X509 - 64-bitová varianta Trojan / implantát

Depriz malware pak přepíše data v konfigurační databázi registru systému Windows a v systémových adresářích pomocí obrazového souboru. Také se pokouší zakázat vzdálená omezení UAC nastavením hodnoty klíče registru LocalAccountTokenFilterPolicy na hodnotu „1“.

Výsledek této události - jakmile je toto provedeno, malware se připojí k cílovému počítači a zkopíruje se jako% System% ntssrvr32.exe nebo% System% ntssrvr64.exe před nastavením vzdálené služby s názvem ntssv nebo naplánované úlohy.

Konečně, malware Depriz nainstaluje součást stěrače jako % System% <náhodný název> .exe. Může také používat jiná jména, která napodobují názvy souborů legitimních systémových nástrojů. Součást stěrače obsahuje kódované soubory ve svých zdrojích jako falešné bitmapové obrázky.

První zakódovaný prostředek je legitimní ovladač nazvaný RawDisk od Eldos Corporation, který umožňuje komponentu uživatelského režimu přístup k prvnímu disku. Ovladač je uložen do počítače jako % System% driversdrdisk.sys a nainstalovat vytvořením služby, která na ni odkazuje pomocí „sc create“ a „sc start“. Kromě toho se malware také pokouší přepsat uživatelská data v různých složkách, například na ploše, ke stažení, obrázcích, dokumentech atd.

Konečně, když se pokusíte restartovat počítač po vypnutí, prostě odmítá načíst a není schopen najít operační systém, protože MBR byl přepsán. Stroj již není ve stavu, ve kterém by se měl správně nabootovat. Naštěstí, Windows 10 uživatelé jsou v bezpečí, protože operační systém je vybaven vestavěnými proaktivními bezpečnostními komponentami, jako je například Strážce zařízení, který zmírňuje tuto hrozbu omezením výkonu na důvěryhodné aplikace a jádra ovladače.

Kromě toho, Windows Defender detekuje a opravuje všechny součásti na koncových bodech jako Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha a Trojan: Win32 / Depriz.D! dha.

Windows Defender v akci

Dokonce i v případě, že dojde k útoku, může program Windows Defender Advanced Threat Protection (ATP) s ním pracovat, protože se jedná o bezpečnostní službu, která je určena k ochraně, detekci a reakci na takové nechtěné hrozby v prostředí Windows 10, Říká Microsoft.

Celý incident týkající se útoku Depriz malware přišel na světlo, když počítače v nejmenovaných ropných společnostech v Saúdské Arábii byly učiněny nepoužitelnými po útoku škodlivého softwaru. Microsoft daboval malware “Depriz” a útočníci “Terbium”, podle vnitřní praxe společnosti pojmenovat herce hrozby po chemických prvcích.

Zdroj

Zanechat komentář