Увеличаването на зависимостта от компютрите ги прави податливи на кибератаки и други престъпни проекти. Неотдавнашен инцидент в Близкия Изток където много организации са станали жертва на целенасочени и разрушителни атаки (Depriz Malware атака), която изтрива данните от компютрите, дава ярък пример за това действие.
Depriz Malware Attacks
Повечето проблеми, свързани с компютрите, не са поканени и причиняват големи преднамерени щети. Това може да бъде сведено до минимум или предотвратено, ако има подходящи инструменти за сигурност. За щастие защитните екипи на Windows Defender и Advanced Defence Threat Protection Intelligence осигуряват денонощна защита, откриване и отговор на тези заплахи.
Microsoft наблюдава, че веригата за инфектиране на Depriz е въведена в действие от изпълним файл, записан на твърд диск. Тя съдържа главно компонентите на зловреден софтуер, които са кодирани като фалшиви bitmap файлове. Тези файлове започват да се разпространяват в мрежата на дадено предприятие, след като се изпълни изпълнимият файл.
- PKCS12 - деструктивен компонент за чистачки на диска
- PKCS7 - комуникационен модул
- X509 - 64-битов вариант на троянеца / имплантант
Depriz зловреден софтуер презаписва данните в конфигурационната база данни на системния регистър на Windows и в системните директории с файл с изображения. Той също така се опитва да деактивира отдалечените ограничения на UAC, като зададе стойността на ключ на системния регистър LocalAccountTokenFilterPolicy на "1".
Резултатът от това събитие - след като това стане, зловредният софтуер се свързва с целевия компютър и се копира като% System% ntssrvr32.exe или% System% ntssrvr64.exe, преди да настрои отдалечена услуга, наречена "ntssv" задача.
Накрая, зловредният софтуер на Depriz инсталира компонента за чистачки като %Система%
Първият кодиран ресурс е легитимен драйвер, наречен RawDisk от Eldos Corporation, който позволява на потребителския режим компонент суров диск достъп. Драйверът е запазен на вашия компютър като % System% шофьори drdisk.sys и се инсталира чрез създаване на услуга, насочена към нея, използвайки "sc create" и "sc start". Освен това злонамереният софтуер също се опитва да презапише потребителски данни в различни папки, например Desktop, файлове за изтегляне, снимки, документи и др.
И накрая, когато се опитвате да рестартирате компютъра след изключване, той просто отказва да се зареди и не може да намери операционната система, защото MBR е презаписана. Машината вече не е в състояние да стартира правилно. За щастие потребителите на Windows 10 са безопасни, тъй като операционната система разполага с вградени проактивни компоненти за сигурност, като Device Guard, които смекчават тази заплаха, като ограничават изпълнението до надеждни приложения и драйвери на ядрото.
В допълнение, Windows Defender открива и ремонтира всички компоненти на крайните точки като троянски: Win32 / Depriz.A! dha, троянски: Win32 / Depriz.B! dha, троянски: Win32 / Depriz.C! dha и троянски: Win32 / Depriz.D! dha.
Целият инцидент по отношение на атаката срещу зловреден софтуер на Depriz излезе наяве, когато компютрите в неназовани петролни компании в Саудитска Арабия станаха неизползваеми след атака на зловреден софтуер. Microsoft нарече зловреден софтуер "Depriz" и нападателите "Terbium", според вътрешната практика на фирмата да назове играчи на заплаха след химически елементи.