Windows 10 захист від Depriz Malware Attacks

Збільшення залежності від комп'ютерів зробило їх сприйнятливими до кібер-атак та інших непристойних конструкцій. Недавній інцидент в середній Схід місце, де численні організації стали жертвами цілеспрямованих та деструктивних нападів (Девізійская шкідлива програма атака), яка вимиває дані з комп'ютерів, є яскравим прикладом цього акту.

Дебрізькі шкідливі атаки

Більшість проблем, пов'язаних з комп'ютером, не запрошуються і завдають величезні передбачувані збитки. Це можна звести до мінімуму або запобігти, якщо існують відповідні інструменти безпеки. На щастя, команди Windows Defender та Windows Defender Advanced Threat Protection Intelligence забезпечують цілодобовий захист, виявлення та реагування на ці загрози.

Microsoft зауважила, що ланцюжок зараження Depriz запускається за допомогою виконуваного файлу, записаного на жорсткий диск. В основному це містить компоненти шкідливих програм, які кодуються як фальшиві растрові файли. Ці файли починають поширюватися в мережі підприємства після запуску виконуваного файлу.

Дебрізькі шкідливі атаки

Ідентифікація наступних файлів була розкрита як троянські фальшиві бітові зображення під час декодування.

  1. PKCS12 - деструктивний компонент дезодорантів
  2. PKCS7 - комунікаційний модуль
  3. X509 - 64-бітний варіант трояна / імплантату

Шкідливе програмне забезпечення Depriz перезаписує дані в базі даних конфігурації реєстру Windows, а також у системних каталогах з файлом зображення. Він також намагається відключити віддалені обмеження UAC, встановивши значення параметра реєстру LocalAccountTokenFilterPolicy в "1".

Результат цієї події - після цього зловмисне програмне забезпечення підключається до цільового комп'ютера та копіює себе як% System% ntssrvr32.exe або% System% ntssrvr64.exe перед встановленням віддаленої служби під назвою ntssv або запланованого завдання.

Нарешті, шкідливе програмне забезпечення Depriz встановлює компонент склоочисника як % System% <випадкове ім'я>. Exe. Він також може використовувати інші імена, щоб імітувати імена файлів законних системних інструментів. Компонент склоочисника має кодовані файли у своїх ресурсах як фальшиві растрові зображення.

Перший закодований ресурс - це законний драйвер, що називається RawDisk від корпорації Eldos, що дозволяє користувачам користувацького режиму використовувати незалежний доступ до диска. Водій зберігається на вашому комп'ютері як % System% driversdrdisk.sys і встановлюється, створюючи службу, що вказує на неї, використовуючи "sc create" та "sc start". На додаток до цього, зловмисне програмне забезпечення також намагається перезаписати дані користувача в різних папках, таких як робочий стіл, завантаження, зображення, документи тощо.

Нарешті, коли ви намагаєтеся перезавантажити комп'ютер після завершення роботи, він просто відмовляється завантажувати і не може знайти операційну систему, оскільки MBR було перезаписано. Машина більше не перебуває у стані завантаження належним чином. На щастя, Windows 10 користувачі є безпечними, оскільки ОС має вбудовані проактивні компоненти безпеки, такі як Пристрій захисту, що пом'якшує цю загрозу, обмежуючи виконання до надійних програм та драйверів ядра.

Крім того, Windows Defender виявляє та відновлює всі компоненти на кінцевих точках як Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, і Trojan: Win32 / Depriz.D! dha.

Windows Defender в дії

Навіть якщо сталася атака, розширений захист загроз Windows Defender (ATP) може працювати з нею, оскільки це служба безпеки після порушення, розроблена для захисту, виявлення та реагування на такі небажані загрози. Windows 10, каже Microsoft.

Весь інцидент, пов'язаний із атакою шкідливих програм Депріз, з'явився, коли комп'ютери на неназваних нафтових компаніях в Саудівській Аравії були знецінені після атаки зловмисного програмного забезпечення. Microsoft назвала зловмисне програмне забезпечення "Депріз" та атакуючих "Тербіум", згідно з внутрішньою практикою компанії, яка називає учасників загроз хімічними елементами.

джерело

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.