La dépendance croissante à l'égard des ordinateurs les rend vulnérables aux cyber-attaques et à d'autres conceptions néfastes. Un incident récent dans le moyen-Orient plusieurs organisations ont été victimes d’attaques ciblées et destructrices (Depriz Malware attaque) qui a effacé les données des ordinateurs fournit un exemple flagrant de cet acte.
Depriz Malware Attacks
La plupart des problèmes informatiques ne sont pas invités et causent d'énormes dégâts. Cela peut être minimisé ou évité si des outils de sécurité appropriés sont en place. Heureusement, les équipes de protection des menaces Windows Defender et Windows Defender Protection avancée fournissent une protection, une détection et une réponse 24 heures sur 24 à ces menaces.
Microsoft a observé que la chaîne d'infection Depriz est mise en mouvement par un fichier exécutable écrit sur un disque dur. Il contient principalement les composants de logiciels malveillants codés sous forme de faux fichiers bitmap. Ces fichiers commencent à se répandre sur le réseau d'une entreprise une fois le fichier exécutable exécuté.
- PKCS12 - un composant d'essuie-glace destructif
- PKCS7 - un module de communication
- X509 - variante 64 bits du cheval de Troie / implant
Les logiciels malveillants Depriz écrasent ensuite les données de la base de données de configuration du registre Windows et des répertoires système avec un fichier image. Il tente également de désactiver les restrictions à distance UAC en définissant la valeur de la clé de registre LocalAccountTokenFilterPolicy sur «1».
Le résultat de cet événement - une fois que cela est fait, le logiciel malveillant se connecte à l’ordinateur cible et se copie en tant que% System% ntssrvr32.exe ou% System% ntssrvr64.exe avant de définir un service distant appelé «ntssv» ou un service planifié. tâche.
Enfin, le logiciel malveillant Depriz installe le composant essuie-glace en tant que %Système%
La première ressource codée est un pilote légitime appelé RawDisk de Eldos Corporation, qui permet l’accès au disque brut en mode utilisateur. Le pilote est enregistré sur votre ordinateur en tant que % System% drivers drdisk.sys et installé en créant un service pointant vers lui en utilisant “sc create” et “sc start”. En outre, le logiciel malveillant tente également de remplacer les données de l'utilisateur dans différents dossiers tels que le Bureau, les téléchargements, les images, les documents, etc.
Enfin, lorsque vous essayez de redémarrer l'ordinateur après son arrêt, celui-ci refuse simplement de se charger et ne parvient pas à trouver le système d'exploitation car le MBR a été écrasé. La machine n'est plus en état de démarrer correctement. Heureusement, les utilisateurs de Windows 10 sont en sécurité car le système d'exploitation comporte des composants de sécurité proactifs intégrés, tels que Device Guard, qui atténuent cette menace en limitant l'exécution aux applications sécurisées et aux pilotes du noyau.
En outre, Windows Defender détecte et corrige tous les composants sur les ordinateurs d'extrémité en tant que Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha et Trojan: Win32 / Depriz.D! dha.
L’incident entier relatif à l’attaque de malware Depriz a été mis en lumière lorsque des ordinateurs de sociétés pétrolières anonymes en Arabie saoudite sont devenus inutilisables après une attaque de malware. Microsoft a surnommé le malware «Depriz» et les attaquants «Terbium», selon la pratique interne de l'entreprise consistant à nommer les acteurs de la menace après des éléments chimiques.
