Suurenev sõltuvus arvutisse on muutnud nad vastuvõtlikuks küberrünnakutele ja muudele pettustele. Hiljutine juhtum Lähis-Ida kus mitmed organisatsioonid sattusid sihitud ja hävitavate rünnakute ohvriks (Depriz pahavara rünnak), mis pühkisid arvutist saadud andmed, on selle teo suurepärane näide.
Depriz pahavara rünnakud
Enamik arvutitega seotud probleeme on kutsutud ja põhjustada tohutuid kavandatud kahjusid. Seda saab minimeerida või vältida, kui seal on olemas asjakohased turvalisuse vahendid. Õnneks pakuvad Windows Defender ja Windows Defender Advanced Threat Protection Threat Intelligence meeskonnad nende ohtude eest ööpäevaringset kaitset, avastamist ja nendele reageerimist.
Microsoft täheldab, et Depriz infektsiooniahel käivitatakse kõvakettale kirjutatud käivitatava faili abil. See sisaldab enamasti pahavara komponente, mis on kodeeritud fake bitmap-failidena. Pärast käivitatava faili käivitamist levivad need failid kogu ettevõtte võrgus.
- PKCS12 - hävitava kettapuhuri komponent
- PKCS7 - side moodul
- X509 - 64-bitine trooja / implantaadi variant
Depriz pahavara siis kirjutab andmed Windowsi registri konfiguratsiooni andmebaasi ja süsteemikataloogidesse koos pildifailiga. Samuti proovib ta keelata UACi kaugpiiranguid, seadistades LocalAccountTokenFilterPolicy registrikoodi väärtuseks "1".
Selle sündmuse tulemus - kui see on lõppenud, siis pahavara loob sihtarvutisse ühenduse ja kopeerib ise% System% ntssrvr32.exe või% System% ntssrvr64.exe enne kaugtööriista ntssv-i või ajastatud ülesanne.
Lõpuks installib Depriz pahavara klaasipuhasti komponent % System%
Esimene kodeeritud ressurss on Eldos Corporationi seaduslik juht, mida nimetatakse RawDiskiks ja mis võimaldab kasutaja režiimil toore kettale juurdepääsu. Draiver salvestatakse teie arvutisse % System% drivers drdisk.sys ja installitud, luues teenindusele selle, kasutades selleks "sc create" ja "sc start". Lisaks sellele püüab pahavara ka ülekirjutada kasutajaandmeid erinevates kaustades, nagu näiteks lauaarvuti, allalaaditavad failid, pildid, dokumendid jne.
Lõpuks, kui proovite arvuti taaskäivitamist pärast sulgemist, lihtsalt keeldub laadimisest ja ei suuda operatsioonisüsteemi leida, kuna MBR-i kirjutas üle. Masin ei ole korralikult käivitamiseks valmis. Õnneks on Windows 10 kasutajad ohutud, sest operatsioonisüsteemil on sisseehitatud ennetavad turvamoodulid, näiteks Device Guard, mis leevendab seda ohtu, piirates täitmist usaldusväärsete rakenduste ja tuumaseadmete draiveritega.
Lisaks, Windows Defender Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, ja Trooja: Win32 / Depriz.D! dha tuvastab ja puhastab kõik komponendid lõpp-punktides.
Kogu Gadrizi pahatahtliku rünnaku juhtum sündis, kui Saudi Araabias nimega naftafirmade arvutid muudeti pahatahtlike rünnakute tõttu kasutamiskõlbmatuks. Microsoft nimetas pahavara "Depriz" ja ründajad "Terbium" vastavalt ettevõtte sisemisele tavale nimetada ohtlikke tegureid pärast keemilisi elemente.
