Windows 10-Schutz vor Depriz-Malware-Angriffen

Inhaltsverzeichnis:

Video: Windows 10-Schutz vor Depriz-Malware-Angriffen

Video: Windows 10-Schutz vor Depriz-Malware-Angriffen
Video: Windows: UPDATE Error/Fehler BEHEBEN! | Problemlösung | Deutsch | 2022 2024, März
Windows 10-Schutz vor Depriz-Malware-Angriffen
Windows 10-Schutz vor Depriz-Malware-Angriffen
Anonim

Durch die zunehmende Abhängigkeit von Computern sind sie anfällig für Cyberangriffe und andere schändliche Entwürfe. Ein vor kurzem in der Mittlerer Osten statt, bei dem mehrere Organisationen Opfer gezielter und destruktiver Angriffe wurden (Depriz Malware Angriff), bei dem Daten von Computern gelöscht wurden, ist ein schillerndes Beispiel für diesen Vorgang.

Depriz-Malware-Angriffe

Die meisten Probleme im Zusammenhang mit dem Computer sind ungeladen und verursachen große beabsichtigte Schäden. Dies kann minimiert oder verhindert werden, wenn geeignete Sicherheits-Tools vorhanden sind. Glücklicherweise bieten Windows Defender und Windows Defender Advanced Threat Protection Bedrohungsteams rund um die Uhr Schutz, Erkennung und Reaktion auf diese Bedrohungen.

Microsoft stellte fest, dass die Depriz-Infektionskette durch eine auf eine Festplatte geschriebene ausführbare Datei in Gang gesetzt wird. Es enthält hauptsächlich die Malware-Komponenten, die als gefälschte Bitmap-Dateien codiert sind. Diese Dateien breiten sich im Netzwerk eines Unternehmens aus, sobald die ausführbare Datei ausgeführt wird.

Die Identität der folgenden Dateien wurde bei der Dekodierung als gefälschte Trojaner-Bitmapbilder offenbart.
Die Identität der folgenden Dateien wurde bei der Dekodierung als gefälschte Trojaner-Bitmapbilder offenbart.
  1. PKCS12 - eine zerstörende Scheibenwischerkomponente
  2. PKCS7 - ein Kommunikationsmodul
  3. X509 - 64-Bit-Variante des Trojaners / Implantats

Depriz-Malware überschreibt dann die Daten in der Windows-Registrierungskonfigurationsdatenbank und in Systemverzeichnissen mit einer Image-Datei. Es versucht auch, UAC-Remotebeschränkungen zu deaktivieren, indem der Registrierungsschlüssel LocalAccountTokenFilterPolicy auf "1" gesetzt wird.

Das Ergebnis dieses Ereignisses - Sobald dies geschehen ist, stellt die Malware eine Verbindung zum Zielcomputer her und kopiert sich als% System% ntssrvr32.exe oder% System% ntssrvr64.exe, bevor sie einen Remote-Dienst namens "ntssv" oder einen geplanten Dienst einrichtet Aufgabe.

Schließlich installiert Depriz-Malware die Wischerkomponente als %System%.exe. Es kann auch andere Namen verwenden, um Dateinamen legitimer Systemwerkzeuge nachzuahmen. Die Wiper-Komponente enthält in ihren Ressourcen verschlüsselte Dateien als gefälschte Bitmap-Bilder.

Die erste verschlüsselte Ressource ist ein legitimer Treiber mit dem Namen RawDisk von der Eldos Corporation, der den Zugriff auf unbenutzte Festplatten im Benutzermodus ermöglicht. Der Treiber wird als auf Ihrem Computer gespeichert % System% drivers drdisk.sys und installiert werden, indem ein Dienst erstellt wird, der mit "sc create" und "sc start" darauf verweist. Darüber hinaus versucht die Malware auch, Benutzerdaten in verschiedenen Ordnern wie Desktop, Downloads, Bildern, Dokumenten usw. zu überschreiben.

Wenn Sie nach dem Herunterfahren des Computers versuchen, den Computer neu zu starten, lehnt er das Laden ab und kann das Betriebssystem nicht finden, da der MBR überschrieben wurde. Die Maschine ist nicht mehr in der Lage, ordnungsgemäß zu starten. Zum Glück sind Windows-10-Benutzer sicher, da das Betriebssystem über integrierte proaktive Sicherheitskomponenten wie Device Guard verfügt, die diese Bedrohung durch die Beschränkung der Ausführung auf vertrauenswürdige Anwendungen und Kerneltreiber reduzieren.

In Ergänzung, Windows Defender erkennt und entfernt alle Komponenten auf den Endpunkten als Trojaner: Win32 / Depriz.A! dha, Trojaner: Win32 / Depriz.B! dha, Trojaner: Win32 / Depriz.C! dha und Trojaner: Win32 / Depriz.D! dha.

Selbst wenn ein Angriff aufgetreten ist, kann der Advanced Threat Protection (ATP) von Windows Defender diesen Angriff erledigen, da es sich um einen Sicherheitsdienst nach einer Verletzung handelt, der zum Schutz, zum Erkennen und zum Reagieren auf solche unerwünschten Bedrohungen in Windows 10 entwickelt wurde, so Microsoft.
Selbst wenn ein Angriff aufgetreten ist, kann der Advanced Threat Protection (ATP) von Windows Defender diesen Angriff erledigen, da es sich um einen Sicherheitsdienst nach einer Verletzung handelt, der zum Schutz, zum Erkennen und zum Reagieren auf solche unerwünschten Bedrohungen in Windows 10 entwickelt wurde, so Microsoft.

Der ganze Vorfall im Zusammenhang mit dem Malware-Angriff von Depriz kam zum Vorschein, als Computer von namhaften Ölunternehmen in Saudi-Arabien nach einem Malware-Angriff unbrauchbar wurden. Microsoft nannte die Malware "Depriz" und die Angreifer "Terbium", gemäß der internen Vorgehensweise des Unternehmens, Bedrohungsakteure nach chemischen Elementen zu benennen.

Empfohlen: