Povećanje ovisnosti o računalima učinilo ih je osjetljivim na cyber-napade i druge neobične dizajne. Nedavni incident u bliski istok, gdje su više organizacija postale žrtve ciljanih i destruktivnih napada (Depriz Malware napad) koji je obrisao podatke s računala, pruža jasan primjer tog čina.
Depresija napada zlonamjernog softvera
Većina problema vezanih uz računalo dolazi nepozvana i uzrokuje velike namjerne štete. To se može umanjiti ili spriječiti ako postoje odgovarajući sigurnosni alati. Srećom, timovi za zaštitu prijetnji programa Windows Defender i Windows Defender Advanced Threat Protection pružaju zaštitu, otkrivanje i odgovor na sve te prijetnje.
Microsoft je opazio da je lanac zaraze Depriz pokrenut putem izvršne datoteke zapisane na tvrdi disk. Uglavnom sadrži zlonamjerne komponente koje su kodirane kao lažne datoteke bitmap. Te se datoteke počinju širiti mrežom poduzeća, nakon pokretanja izvršne datoteke.
- PKCS12 - destruktivna komponenta brisača diska
- PKCS7 - komunikacijski modul
- X509 - 64-bitna inačica trojanskog / implantata
Depriz zlonamjerni softver zatim prebrisuje podatke u konfiguracijskoj bazi registra sustava Windows, a u direktorijima sustava, s slikovnom datotekom. Također pokušava onemogućiti daljinska ograničenja UAC tako da vrijednost ključa registra LocalAccountTokenFilterPolicy bude postavljena na "1".
Ishod ovog događaja - nakon što se to dogodi, zlonamjerni softver povezuje se s ciljanim računalom i kopira se kao% System% ntssrvr32.exe ili% System% ntssrvr64.exe prije postavljanja udaljenog servisa pod nazivom "ntssv" ili zakazano zadatak.
Konačno, Depriz zlonamjerni softver instalira komponentu brisača kao % System%
Prvi kodirani resurs je legitimni upravljački program pod nazivom RawDisk tvrtke Eldos Corporation koji omogućava komponentu korisničkog načina pristupa sirovom disku. Vozač se spremaju na vaše računalo kao % System% drivers drdisk.sys i instaliran stvaranjem usluge koja upućuje na njega pomoću "sc create" i "sc start". Osim toga, zlonamjerni softver također pokušava prepisati korisničke podatke u različitim mapama, kao što su radna površina, preuzimanja, slike, dokumenti itd.
Konačno, kada pokušate ponovno pokrenuti računalo nakon zatvaranja, on jednostavno odbija učitati i ne može pronaći operativni sustav jer je MBR prebrisan. Stroj više nije u stanju ispravno dizati. Srećom, korisnici Windowsa 10 su sigurni jer OS ima ugrađene proaktivne sigurnosne komponente, kao što je Device Guard, što ublažava ovu prijetnju ograničavanjem izvršenja na pouzdane aplikacije i upravljačke programe za kernel.
U Dodatku, Windows Defender otkriva i remediates sve komponente na krajnjim točkama kao Trojan: Win32 / Depriz.A! DH, Trojan: Win32 / Depriz.B! DH, Trojan: Win32 / Depriz.C! DH, i Trojan: Win32 / Depriz.D! DH.
Cijeli incident u vezi s napadom Depriz malwarea pojavio se na svjetlu kada su računala u neimenovanim naftnim tvrtkama u Saudijskoj Arabiji postala neupotrebljiva nakon napada zlonamjernih programa. Microsoft je nazvao zlonamjerni softver "Depriz" i napadače "Terbium", prema internoj praksi tvrtke da imenuje prijetnje glumcima nakon kemijskih elemenata.
