Meningkatkan ketergantungan pada komputer telah membuat mereka rentan terhadap serangan cyber dan desain jahat lainnya. Insiden baru-baru ini di Timur Tengah terjadi, di mana banyak organisasi menjadi korban serangan yang ditargetkan dan merusak (Depriz Malware serangan) yang menghapus data dari komputer memberikan contoh mencolok dari tindakan ini.
Serangan Depriz Malware
Sebagian besar masalah terkait komputer datang tanpa diundang dan menyebabkan kerusakan yang sangat besar. Ini dapat diminimalkan atau dihindari jika ada alat keamanan yang sesuai. Untungnya, Windows Defender dan Windows Defender Advanced Threat Protection Threat Intelligence tim memberikan perlindungan sepanjang waktu, deteksi, dan respons terhadap ancaman ini.
Microsoft mengamati rantai infeksi Depriz diatur ke dalam gerakan oleh file eksekusi yang ditulis ke hard disk. Ini terutama berisi komponen malware yang disandikan sebagai file bitmap palsu. File-file ini mulai menyebar di seluruh jaringan suatu perusahaan, setelah file eksekusi dijalankan.
- PKCS12 - komponen penghapus disk yang merusak
- PKCS7 - modul komunikasi
- X509 - varian 64-bit dari Trojan / implant
Malware depriz kemudian menimpa data dalam database konfigurasi registri Windows, dan di direktori sistem, dengan file gambar. Ini juga mencoba untuk menonaktifkan pembatasan UAC jauh dengan menetapkan nilai kunci registri LocalAccountTokenFilterPolicy ke "1".
Hasil dari acara ini - setelah ini dilakukan, malware terhubung ke komputer target dan menyalin dirinya sendiri sebagai% System% ntssrvr32.exe atau% System% ntssrvr64.exe sebelum menyetel layanan jarak jauh yang disebut "ntssv" atau terjadwal tugas.
Akhirnya, malware Depriz menginstal komponen penghapus sebagai %Sistem%
Sumber daya yang dikodekan pertama adalah driver yang sah yang disebut RawDisk dari Eldos Corporation yang memungkinkan akses disk baku komponen mode pengguna. Driver disimpan ke komputer Anda sebagai % System% drivers drdisk.sys dan diinstal dengan membuat layanan yang menunjuk ke sana menggunakan "sc create" dan "sc start". Selain itu, malware juga mencoba untuk menimpa data pengguna di folder yang berbeda seperti Desktop, unduhan, gambar, dokumen, dll.
Akhirnya, ketika Anda mencoba untuk me-restart komputer setelah mematikan, itu hanya menolak untuk memuat dan tidak dapat menemukan sistem operasi karena MBR itu ditimpa. Mesin tidak lagi dalam keadaan untuk boot dengan benar. Untungnya, pengguna Windows 10 aman karena, OS ini memiliki komponen keamanan proaktif built-in, seperti Device Guard, yang mengurangi ancaman ini dengan membatasi eksekusi untuk aplikasi tepercaya dan driver kernel.
Sebagai tambahan, Windows Defender mendeteksi dan meremediasi semua komponen pada endpoint sebagai Trojan: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, dan Trojan: Win32 / Depriz.D! dha.
Seluruh insiden terkait serangan malware Depriz menjadi jelas ketika komputer di perusahaan minyak yang tidak disebutkan namanya di Arab Saudi tidak dapat digunakan setelah serangan malware. Microsoft menjuluki malware "Depriz" dan penyerang "Terbium", sesuai praktik internal perusahaan untuk menamai aktor ancaman setelah elemen kimia.