Palielinoties atkarībai no datoriem, viņi ir uzņēmīgi pret kiberuzbrukumiem un citiem nežēlīgiem dizainparaugiem. Nesenais incidents Tuvie Austrumi kur vairākas organizācijas kļuva par mērķtiecīgu un destruktīvu uzbrukumu upuriem (Depriz Malware uzbrukums), kas slaucīja datus no datoriem, ir brīnišķīgs piemērs šim aktam.
Apdraudējumi
Lielākā daļa ar datoru saistītās problēmas nonāk nepieprasītas un rada lielu paredzēto zaudējumu. To var samazināt vai novērst, ja ir piemēroti drošības līdzekļi. Par laimi, Windows Defender un Windows Defender Advanced Threat Protection Threat Intelligence komandas nodrošina visu diennakti aizsardzību, atklāšanu un reaģēšanu uz šiem draudiem.
Microsoft novēroja, ka Depriz infekcijas ķēde tiek iedarbināta ar izpildāmu failu, kas rakstīts uz cietā diska. Tajā pārsvarā ir ļaunprātīgas programmatūras komponenti, kas tiek kodēti kā viltus bitmap faili. Pēc izpildāmā faila palaišanas šie faili sāk izplatīties uzņēmuma tīklā.
- PKCS12 - destruktīva diska tīrīšanas sastāvdaļa
- PKCS7 - komunikācijas modulis
- X509 - 64 bitu variants Trojas zirgam / implantam
Depriz ļaunprogramma pēc tam pārrakstīs datus Windows reģistra konfigurācijas datu bāzē un sistēmas direktorijās ar attēla failu. Tā arī mēģina atspējot UAC attālās ierobežojumus, iestatot LocalAccountTokenFilterPolicy reģistra atslēgas vērtību "1".
Šī notikuma iznākums - tiklīdz tas ir paveikts, ļaunprogramma pieslēdzas mērķa datoram un kopē sevi kā% System% ntssrvr32.exe vai% System% ntssrvr64.exe pirms iestatīt attālo pakalpojumu, ko sauc par "ntssv" vai regulāru uzdevums
Visbeidzot, Depriz ļaunprogramma instalē tīrītāju sastāvdaļu kā % System%
Pirmais kodētais resurss ir likumīgs draiveris, ko sauc par RawDisk no Eldos Corporation, kas ļauj lietotāja režīma komponentam iegūt neapstrādātu disku piekļuvi. Vadītājs tiek saglabāts jūsu datorā kā % System% drivers drdisk.sys un instalē, izveidojot pakalpojumu, kas norāda uz to, izmantojot "sc create" un "sc start". Papildus tam ļaunprogramma mēģina pārrakstīt lietotāja datus dažādās mapēs, piemēram, darbvirsmā, lejupielādēs, attēlos, dokumentos utt.
Visbeidzot, mēģinot restartēt datoru pēc darbības pārtraukšanas, tas vienkārši atsakās ielādēt un nespēj atrast operētājsistēmu, jo MBR tika pārrakstīts. Mašīna vairs nav stāvoklī, lai pareizi startētu. Par laimi Windows 10 lietotāji ir droši, jo operētājsistēmai ir iebūvētas proaktīvas drošības sastāvdaļas, piemēram, Device Guard, kas mazina šos draudus, ierobežojot izpildi uzticamiem lietojumiem un kodola draiveriem.
Papildus, Windows Defender Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, un Trojan: Win32 / Depriz.D! dha, atpazīst un izārstē visas komponentes galapunktiem.
Viss incidents, kas saistīts ar Depriz ļaundabīgo programmu uzbrukumu, parādījās, kad datori nezināmās naftas kompānijās Saūda Arābijā pēc ļaunprātīgas programmatūras uzbrukuma tika padarīti nelietojami. Microsoft dublējusi ļaundabīgo programmu "Depriz" un uzbrucējus "Terbium", pamatojoties uz uzņēmuma iekšējo praksi nosaukt draudus dalībniekiem pēc ķīmiskiem elementiem.
