Padidinus priklausomybę nuo kompiuterių, jie tapo jautrūs kibernetinėms atakoms ir kitiems niūriiems dizainams. Neseniai įvykęs incidentas Artimieji Rytai įvyko daugybė organizacijų, nukentėjusių nuo tikslinių ir destruktyvių išpuolių (Depriz kenkėjiška programa ataka), kuris ištrina duomenis iš kompiuterių, yra akivaizdus šio veiksmo pavyzdys.
Depriz kenkėjiškos atakos
Dauguma su kompiuteriu susijusių problemų yra nekviestos ir sukelia didžiulį numatomą žalą. Tai gali būti sumažinta arba sumažinta, jei yra tinkamos saugumo priemonės. Laimei, "Windows Defender" ir "Windows Defender" išplėstinės grėsmių apsaugos grėsmės žvalgybos komandos teikia visą parą apsaugą, aptikimą ir reagavimą į šias grėsmes.
"Microsoft" pastebėjo, kad Depriz infekcijos grandinė pradeda veikti vykdomąjį failą, parašytą kietajame diske. Joje daugiausia yra kenkėjiškų programų komponentai, užkoduoti kaip netikrūs bitmap failai. Šie failai pradeda platinti įmonės tinkle, kai vykdomąjį failą paleisti.
- PKCS12 - destruktyvus disko valytuvo komponentas
- PKCS7 - komunikacijos modulis
- X509 - 64 bitų Trojan / implanto variantas
Depriz kenkėjiška programa perrašo duomenis "Windows" registro konfigūracijos duomenų bazėje ir sistemos kataloguose su vaizdo failu. Taip pat bandoma išjungti UAC nuotolinius apribojimus, nustatę "1" vietinio registro rakto reikšmę "LocalAccountTokenFilterPolicy".
Šio įvykio rezultatas. Kai tai bus padaryta, kenkėjiška programa prisijungia prie tikslinio kompiuterio ir kopijuoja save kaip% System% ntssrvr32.exe arba% System% ntssrvr64.exe prieš nustatydami nuotolinę paslaugą, pavadintą "ntssv", arba numatytą užduotis
Galiausiai, "Depriz" kenkėjiška programinė įranga valiklio komponentą įdiegia kaip % System%
Pirmasis koduotas šaltinis yra teisėtas vairuotojas, vadinamas RawDisk iš "Eldos Corporation", kuris leidžia vartotojo režimu sudaryti neapdorotą diską. Vairuotojas išsaugotas jūsų kompiuteryje kaip % System% drivers drdisk.sys ir įdiegta sukuriant paslaugą, nukreipiančią į ją naudojant "sc create" ir "sc start". Be to, kenkėjiška programa taip pat bando perrašyti naudotojo duomenis skirtinguose aplankuose, pvz., "Desktop", parsisiųsti, nuotraukos, dokumentai ir tt
Galiausiai, kai bandote iš naujo paleisti kompiuterį po uždarymo, jis tiesiog atsisako įkelti ir negali rasti operacinės sistemos, nes MBR buvo perrašytas. Mašina nebegali tinkamai paleisti. Laimei, "Windows 10" vartotojai yra saugūs, nes OS turi įmontuotus aktyvius saugos komponentus, pvz., "Device Guard", kuris sušvelnina šią grėsmę, apribodamas vykdymą patikimoms programoms ir branduolio tvarkykles.
Papildomai, Windows Defender Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, ir Trojan: Win32 / Depriz.D! dha, aptiko ir išvalo visus komponentus galutiniuose taškuose.
Visas incidentas, susijęs su "Depriz" kenkėjiškų programų išpuoliu, atsirado, kai nežinomų naftos kompanijų Saudo Arabijoje kompiuteriai buvo išleisti netinkamai po kenkėjiškų programų. "Microsoft" pavadino kenkėjišką programinę įrangą "Depriz" ir užpuoliklius "Terbium", nes pagal įmonės vidaus praktiką pavojų keliančių veikėjų po cheminių elementų pavadinimai.
