O aumento da dependência de computadores os tornou suscetíveis a ataques cibernéticos e outros projetos nefastos. Um incidente recente no Médio Oriente ocorreu, onde várias organizações foram vítimas de ataques direcionados e destrutivos (Depriz Malware ataque) que limpou dados de computadores fornece um exemplo gritante deste ato.
Ataques de malware Depriz
A maioria dos problemas relacionados ao computador vem sem ser convidada e causam enormes danos intencionais. Isso pode ser minimizado ou evitado se houver ferramentas de segurança adequadas. Felizmente, as equipes de Inteligência de ameaças de proteção avançada contra ameaças do Windows Defender e do Windows Defender fornecem proteção, detecção e resposta 24 horas por dia a essas ameaças.
A Microsoft observou que a cadeia de infecção Depriz é acionada por um arquivo executável gravado em um disco rígido. Ele contém principalmente os componentes de malware codificados como arquivos de bitmap falsos. Esses arquivos começam a se espalhar pela rede de uma empresa, quando o arquivo executável é executado.
- PKCS12 - um componente destrutivo de limpador de disco
- PKCS7 - um módulo de comunicação
- X509 - variante de 64 bits do Trojan / implante
Em seguida, o malware Depriz sobrescreve os dados no banco de dados de configuração do Registro do Windows e nos diretórios do sistema, com um arquivo de imagem. Ele também tenta desabilitar as restrições remotas do UAC, definindo o valor da chave do Registro LocalAccountTokenFilterPolicy como “1”.
O resultado desse evento - assim que isso é feito, o malware se conecta ao computador de destino e se copia como% System% ntssrvr32.exe ou% System% ntssrvr64.exe antes de configurar um serviço remoto chamado “ntssv” ou um serviço agendado tarefa.
Finalmente, o malware Depriz instala o componente limpador como %Sistema%
O primeiro recurso codificado é um driver legítimo chamado RawDisk da Eldos Corporation que permite acesso ao disco bruto de um componente do modo de usuário. O driver é salvo no seu computador como % System% drivers drdisk.sys e instalado criando um serviço apontando para ele usando "sc create" e "sc start". Além disso, o malware também tenta substituir os dados do usuário em pastas diferentes, como Desktop, downloads, imagens, documentos etc.
Finalmente, quando você tenta reiniciar o computador após o encerramento, ele simplesmente se recusa a carregar e não consegue encontrar o sistema operacional porque o MBR foi substituído. A máquina não está mais em estado para inicializar corretamente. Felizmente, os usuários do Windows 10 estão seguros desde então, o sistema operacional possui componentes de segurança proativos integrados, como o Device Guard, que atenua essa ameaça restringindo a execução a aplicativos confiáveis e drivers de kernel.
Além do que, além do mais, proteção do Windows detecta e corrige todos os componentes em endpoints como Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha e Trojan: Win32 / Depriz.D! dha.
Todo o incidente relacionado ao ataque de malware Depriz veio à tona quando computadores de empresas de petróleo não identificadas na Arábia Saudita foram inutilizados após um ataque de malware. A Microsoft apelidou o malware de “Depriz” e os invasores “Terbium”, de acordo com a prática interna da empresa de nomear agentes de ameaça após elementos químicos.