Protezione di Windows 10 contro gli attacchi malware di Depriz

Sommario:

Protezione di Windows 10 contro gli attacchi malware di Depriz
Protezione di Windows 10 contro gli attacchi malware di Depriz

Video: Protezione di Windows 10 contro gli attacchi malware di Depriz

Video: Protezione di Windows 10 contro gli attacchi malware di Depriz
Video: Webinar | Leggere senza distrazioni: UDL e lettura immersiva con Microsoft - YouTube 2024, Novembre
Anonim

L'aumento della dipendenza dai computer li ha resi suscettibili agli attacchi informatici e ad altri progetti nefandi. Un incidente recente nel Medio Oriente ha avuto luogo, dove più organizzazioni sono state vittime di attacchi mirati e distruttivi (Depriz Malware attacco) che cancellato i dati dai computer fornisce un esempio lampante di questo atto.

Depriz Malware Attacks

La maggior parte dei problemi relativi al computer vengono senza invito e provocano enormi danni. Questo può essere minimizzato o evitato se sono disponibili strumenti di sicurezza appropriati. Fortunatamente, i team Windows Defender e Windows Defender Advanced Threat Protection Threat Intelligence forniscono protezione, rilevamento e risposta 24 ore su 24 a queste minacce.

Microsoft ha osservato che la catena di infezioni Depriz viene messa in movimento da un file eseguibile scritto su un disco rigido. Contiene principalmente i componenti malware che sono codificati come file bitmap falsi. Questi file iniziano a diffondersi attraverso la rete di un'azienda, una volta eseguito il file eseguibile.

L'identità dei seguenti file è stata rivelata come immagini bitmap falso trojan quando decodificati.
L'identità dei seguenti file è stata rivelata come immagini bitmap falso trojan quando decodificati.
  1. PKCS12: componente distruttivo del disco
  2. PKCS7 - un modulo di comunicazione
  3. X509 - Variante a 64 bit del Trojan / implant

Il malware Depriz sovrascrive i dati nel database di configurazione del registro di Windows e nelle directory di sistema con un file immagine. Tenta anche di disabilitare le restrizioni remote del controllo dell'account utente impostando il valore della chiave del Registro di sistema LocalAccountTokenFilterPolicy su "1".

Il risultato di questo evento - una volta fatto questo, il malware si connette al computer di destinazione e si copia come% System% ntssrvr32.exe o% System% ntssrvr64.exe prima di impostare un servizio remoto chiamato "ntssv" o programmato compito.

Infine, il malware Depriz installa il componente wiper come %Sistema%.EXE. Può usare anche altri nomi per imitare i nomi di file di strumenti di sistema legittimi. Il componente wiper presenta file codificati nelle sue risorse come immagini bitmap false.

La prima risorsa codificata è un driver legittimo chiamato RawDisk di Eldos Corporation che consente l'accesso al disco non elaborato del componente in modalità utente. Il driver è salvato sul tuo computer come % System% drivers drdisk.sys e installato creando un servizio che punta ad esso usando "sc create" e "sc start". Oltre a ciò, il malware tenta anche di sovrascrivere i dati dell'utente in diverse cartelle come Desktop, download, immagini, documenti, ecc.

Infine, quando si tenta di riavviare il computer dopo lo spegnimento, si rifiuta di caricare e non è in grado di trovare il sistema operativo perché l'MBR è stato sovrascritto. La macchina non è più in uno stato per avviarsi correttamente. Fortunatamente, gli utenti di Windows 10 sono sicuri poiché il sistema operativo include componenti di sicurezza proattiva incorporati, come Device Guard, che attenua questa minaccia limitando l'esecuzione a applicazioni e driver del kernel affidabili.

Inoltre, Windows Defender rileva e risolve tutti i componenti sugli endpoint come Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha e Trojan: Win32 / Depriz.D! dha.

Anche se si è verificato un attacco, Windows Defender Advanced Threat Protection (ATP) può gestirlo poiché si tratta di un servizio di sicurezza post-violazione progettato per proteggere, rilevare e rispondere a tali minacce indesiderate in Windows 10, afferma Microsoft.
Anche se si è verificato un attacco, Windows Defender Advanced Threat Protection (ATP) può gestirlo poiché si tratta di un servizio di sicurezza post-violazione progettato per proteggere, rilevare e rispondere a tali minacce indesiderate in Windows 10, afferma Microsoft.

L'intero incidente riguardante l'attacco del malware Depriz è venuto alla luce quando i computer di compagnie petrolifere anonime in Arabia Saudita sono stati resi inutilizzabili dopo un attacco di malware. Microsoft ha soprannominato il malware "Depriz" e gli aggressori "Terbium", secondo la pratica interna della società di nominare gli attori delle minacce dopo gli elementi chimici.

Consigliato: