Windows 10 beskyttelse mod Depriz Malware Attacks

Stigende afhængighed af computere har gjort dem modtagelige for cyberangreb og andre dårlige designs. En nylig hændelse i Middle East fandt sted, hvor flere organisationer blev offer for målrettede og ødelæggende angreb (Depriz Malware angreb), der udslettet data fra computere giver et skarpt eksempel på denne handling.

Depriz Malware Attacks

De fleste computerrelaterede problemer er ubudne og forårsager enorme skadeserstatning. Dette kan minimeres eller afværges, hvis der findes passende sikkerhedsværktøjer på plads. Heldigvis tilbyder Windows Defender og Windows Defender Advanced Threat Protection Threat Intelligence-teams døgnet rundt beskyttelse, afsløring og reaktion på disse trusler.

Microsoft observerede, at Depriz-infektionskæden er sat i bevægelse af en eksekverbar fil, der er skrevet til en harddisk. Den indeholder hovedsagelig de malware-komponenter, der er kodet som falske bitmap-filer. Disse filer begynder at spredes over et virksomheds netværk, når den eksekverbare fil er kørt.

Depriz Malware Attacks

Identiteten af ​​de følgende filer blev afsløret som trojanske falske bitmapbilleder, når de dekodes.

  1. PKCS12 - en destruktiv diskvisker komponent
  2. PKCS7 - et kommunikationsmodul
  3. X509 - 64-bit variant af Trojan / implantatet

Depriz malware overskriver derefter data i Windows-registreringsdatabasekonfigurationsdatabasen og i systemmapper med en billedfil. Det forsøger også at deaktivere UAC-fjernbegrænsninger ved at indstille LocalAccountTokenFilterPolicy-registreringsnøgleværdien til "1".

Resultatet af denne begivenhed - når dette er gjort, forbinder malware sig til målcomputeren og kopierer sig selv som% System% ntssrvr32.exe eller% System% ntssrvr64.exe, før du indstiller enten en fjernbetjening kaldet "ntssv" eller en planlagt opgave.

Endelig installerer Depriz malware torkekomponenten som % System% <tilfældigt navn> .exe. Det kan også bruge andre navne til at efterligne filnavne af legitime systemværktøjer. Visker komponenten indeholder kodede filer i sine ressourcer som falske bitmap billeder.

Den første kodede ressource er en legitim driver, der hedder RawDisk fra Eldos Corporation, der tillader en adgangskomponent til raw-access til brugeren. Driveren er gemt på din computer som % System% driversdrdisk.sys og installeres ved at oprette en tjeneste, der peger på den ved hjælp af "sc create" og "sc start". Derudover forsøger malwareprogrammet også at overskrive brugerdata i forskellige mapper som desktop, downloads, billeder, dokumenter osv.

Finally, When you attempt to restart the computer after shutting down, it just refuses to load and is unable to find the operating system because the MBR was overwritten. The machine is no longer in a state to boot properly. Fortunately, Windows 10 brugerne er sikre, da operativsystemet indeholder en indbygget proaktiv sikkerhedskomponent, f.eks Enhedsvagt, der mildner denne trussel ved at begrænse udførelsen til pålidelige applikationer og kernel drivere.

Desuden Windows Defender opdager og afhjælper alle komponenter på endepunkter som Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha og Trojan: Win32 / Depriz.D! dha.

Windows Defender i aktion

Selvom der er opstået et angreb, kan Windows Defender Advanced Threat Protection (ATP) håndtere det, da det er en sikkerhedstjeneste, der overtræder sikkerhedsbrud, der er designet til at beskytte, afsløre og reagere på sådanne uønskede trusler i Windows 10, Siger microsoft.

Hele hændelsen vedrørende Depriz malware-angreb kom i lys, da computere ved navngivne olieselskaber i Saudi-Arabien blev gjort ubrugelige efter et malware-angreb. Microsoft kaldte malware "Depriz" og angriberne "Terbium", som ifølge virksomhedens interne praksis at navngive trusselaktører efter kemiske elementer.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.