Повышенная зависимость от компьютеров сделала их восприимчивыми к кибератакам и другим гнусным проектам. Недавний инцидент в Средняя Азия когда несколько организаций стали жертвами целенаправленных и деструктивных атак (Depriz Malware атака), который вытирает данные с компьютеров, является ярким примером этого действия.
Depriz Malware Attacks
Большинство проблем, связанных с компьютером, становятся незваными и наносят огромный ущерб. Это может быть сведено к минимуму или предотвращено, если на нем установлены соответствующие инструменты безопасности. К счастью, защитники Windows Defender и Windows Defender Advanced Threat Protection Threat Intelligence обеспечивают круглосуточную защиту, обнаружение и реагирование на эти угрозы.
Microsoft заметила, что цепочка заражения Depriz введена в действие исполняемым файлом, записанным на жесткий диск. В основном это компоненты вредоносного ПО, которые закодированы как фальшивые файлы растровых изображений. Эти файлы начинают распространяться по сети предприятия после запуска исполняемого файла.
- PKCS12 - деструктивный компонент стеклоочистителя
- PKCS7 - коммуникационный модуль
- X509 - 64-битный вариант трояна / имплантата
Depriz затем перезаписывает данные в базе данных конфигурации реестра Windows и в системных каталогах с файлом изображения. Он также пытается отключить удаленные ограничения UAC, установив значение ключа реестра LocalAccountTokenFilterPolicy равным «1».
Результат этого события - после этого вредоносная программа подключается к целевому компьютеру и копирует себя как% System% ntssrvr32.exe или% System% ntssrvr64.exe перед настройкой удаленной службы, называемой «ntssv», или запланированной задача.
Наконец, вредоносное ПО Depriz устанавливает компонент стеклоочистителя как % System%
Первый закодированный ресурс - это законный драйвер RawDisk от корпорации Eldos, который позволяет получить доступ к необработанному диску для пользовательского режима. Драйвер сохранен на вашем компьютере как % System% DRIVERS drdisk.sys и устанавливается путем создания службы, указывающей на нее, используя «sc create» и «sc start». В дополнение к этому вредоносное ПО также пытается перезаписать пользовательские данные в разных папках, таких как рабочий стол, загрузки, изображения, документы и т. Д.
Наконец, когда вы пытаетесь перезагрузить компьютер после выключения, он просто отказывается загружать и не может найти операционную систему, потому что MBR был перезаписан. Машина больше не находится в состоянии для правильной загрузки. К счастью, пользователи Windows 10 безопасны, поскольку ОС имеет встроенные проактивные компоненты безопасности, такие как Device Guard, которые смягчают эту угрозу, ограничивая выполнение доверенными приложениями и драйверами ядра.
К тому же, Защитник Windows обнаруживает и исправляет все компоненты на конечных точках как троянец: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha и Trojan: Win32 / Depriz.D! dha.
Весь инцидент, связанный с атакой вредоносного ПО Depriz, появился на свет, когда компьютеры в неназванных нефтяных компаниях в Саудовской Аравии оказались непригодными после атаки вредоносного ПО. Microsoft назвала вредоносное ПО «Деприз» и нападавших «Тербиум» в соответствии с внутренней практикой именования угроз актерам после химических элементов.