Lisääntynyt riippuvuus tietokoneista on tehnyt ne alttiiksi tietoverkkohyökkäyksille ja muille haitallisille malleille. Äskettäinen tapaus Lähi-itä tapahtui, kun useat organisaatiot joutuivat uhreiksi kohdistetuista ja tuhoisista hyökkäyksistä (Depriz Malware hyökkäys), joka pyysi tietoja tietokoneista, tarjoaa näennäisen esimerkin tästä toimesta.
Depriz-haittaohjelmat
Useimmat tietokoneeseen liittyvät ongelmat tulevat tuntemattomiksi ja aiheuttavat suuria suunniteltuja vahingonkorvauksia. Tämä voidaan minimoida tai estää, jos käytössä on asianmukaiset turvalaitteet. Onneksi Windows Defender ja Windows Defender Advanced Threat Protection Threat Intelligence -tiimi tarjoavat ympärivuorokautisen suojauksen, havaitsemisen ja vastauksen näihin uhkiin.
Microsoft havaitsi, että Deprizin infektioketju on käynnistynyt kiintolevylle kirjoitetun suoritettavan tiedoston avulla. Se sisältää pääasiassa haittaohjelmien komponentteja, jotka on koodattu väärennetyiksi bittikarttatiedostoiksi. Nämä tiedostot alkavat levitä yrityksen verkkoon, kun suoritustiedosto suoritetaan.
- PKCS12 - tuhoava levyn pyyhkimen osa
- PKCS7 - viestintämoduuli
- X509 - Trojan / implantin 64-bittinen versio
Depriz-haittaohjelma korvaa sitten tiedot Windowsin rekisterin konfigurointitietokannasta ja järjestelmähakemistoista ja kuvatiedostosta. Se myös yrittää poistaa UAC-etärajoitukset asettamalla LocalAccountTokenFilterPolicy-rekisteriavaimen arvon "1".
Tapahtuman lopputulos - kun tämä on tehty, haittaohjelmat yhdistyvät kohdetietokoneeseen ja kopioidaan itseään% System% ntssrvr32.exe tai% System% ntssrvr64.exe ennen kuin asetetaan joko ntssv-palvelua tai tehtävä.
Lopuksi, Depriz-haittaohjelmisto asentaa pyyhkimen komponentin asemaan % Järjestelmän%
Ensimmäinen koodattu resurssi on oikeutettu Eldos Corporationin RawDisk-ohjain, joka sallii käyttäjän tilan raaka-aineen käytön. Ajuri tallennetaan tietokoneeseesi % Järjestelmän% drivers drdisk.sys ja asentamalla luomalla sille osoittava palvelu käyttäen "sc create" ja "sc start". Tämän lisäksi haittaohjelmat yrittävät myös korvata käyttäjätietoja eri kansioissa, kuten työpöydällä, latauksilla, kuvilla, asiakirjoilla jne.
Lopuksi, kun yrität käynnistää tietokoneen uudelleen sulkemisen jälkeen, se vain kieltäytyy lataamasta ja ei löydä käyttöjärjestelmää, koska MBR on ylikirjoitettu. Laite ei ole enää kunnossa. Onneksi Windows 10-käyttäjät ovat turvallisia, koska OS: llä on sisäänrakennettu proaktiivisia tietoturvakomponentteja, kuten Device Guard, joka lievittää tätä uhkaa rajoittamalla suoritusta luotettaviin sovelluksiin ja ytimen ohjaimiin.
Lisäksi, Windows Defender Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, ja Trojan: Win32 / Depriz.D! dha tunnistaa ja korjaa kaikki komponentit päätepisteissä kuten Trojan: Win32 / Depriz.A!
Koko tapaus, joka koski Depriz-haittaohjelmien hyökkäystä, tuli esille, kun Saudi-Arabian nimettömissä öljy-yhtiöissä olevat tietokoneet olivat käyttökelvottomia haittaohjelmien hyökkäyksen jälkeen. Microsoft pyysi haittaohjelmia "Depriz" ja hyökkääjät "Terbium" mukaan yhtiön sisäiseen tapaan nimetä uhkailijoita kemiallisten elementtien jälkeen.
