L'aumento della dipendenza dai computer li ha resi suscettibili agli attacchi informatici e ad altri progetti nefandi. Un incidente recente nel Medio Oriente ha avuto luogo, dove più organizzazioni sono state vittime di attacchi mirati e distruttivi (Depriz Malware attacco) che cancellato i dati dai computer fornisce un esempio lampante di questo atto.
Depriz Malware Attacks
La maggior parte dei problemi relativi al computer vengono senza invito e provocano enormi danni. Questo può essere minimizzato o evitato se sono disponibili strumenti di sicurezza appropriati. Fortunatamente, i team Windows Defender e Windows Defender Advanced Threat Protection Threat Intelligence forniscono protezione, rilevamento e risposta 24 ore su 24 a queste minacce.
Microsoft ha osservato che la catena di infezioni Depriz viene messa in movimento da un file eseguibile scritto su un disco rigido. Contiene principalmente i componenti malware che sono codificati come file bitmap falsi. Questi file iniziano a diffondersi attraverso la rete di un'azienda, una volta eseguito il file eseguibile.
- PKCS12: componente distruttivo del disco
- PKCS7 - un modulo di comunicazione
- X509 - Variante a 64 bit del Trojan / implant
Il malware Depriz sovrascrive i dati nel database di configurazione del registro di Windows e nelle directory di sistema con un file immagine. Tenta anche di disabilitare le restrizioni remote del controllo dell'account utente impostando il valore della chiave del Registro di sistema LocalAccountTokenFilterPolicy su "1".
Il risultato di questo evento - una volta fatto questo, il malware si connette al computer di destinazione e si copia come% System% ntssrvr32.exe o% System% ntssrvr64.exe prima di impostare un servizio remoto chiamato "ntssv" o programmato compito.
Infine, il malware Depriz installa il componente wiper come %Sistema%
La prima risorsa codificata è un driver legittimo chiamato RawDisk di Eldos Corporation che consente l'accesso al disco non elaborato del componente in modalità utente. Il driver è salvato sul tuo computer come % System% drivers drdisk.sys e installato creando un servizio che punta ad esso usando "sc create" e "sc start". Oltre a ciò, il malware tenta anche di sovrascrivere i dati dell'utente in diverse cartelle come Desktop, download, immagini, documenti, ecc.
Infine, quando si tenta di riavviare il computer dopo lo spegnimento, si rifiuta di caricare e non è in grado di trovare il sistema operativo perché l'MBR è stato sovrascritto. La macchina non è più in uno stato per avviarsi correttamente. Fortunatamente, gli utenti di Windows 10 sono sicuri poiché il sistema operativo include componenti di sicurezza proattiva incorporati, come Device Guard, che attenua questa minaccia limitando l'esecuzione a applicazioni e driver del kernel affidabili.
Inoltre, Windows Defender rileva e risolve tutti i componenti sugli endpoint come Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha e Trojan: Win32 / Depriz.D! dha.
L'intero incidente riguardante l'attacco del malware Depriz è venuto alla luce quando i computer di compagnie petrolifere anonime in Arabia Saudita sono stati resi inutilizzabili dopo un attacco di malware. Microsoft ha soprannominato il malware "Depriz" e gli aggressori "Terbium", secondo la pratica interna della società di nominare gli attori delle minacce dopo gli elementi chimici.
