Depriz Malware : Malware ini Akan Menghapus OS dan Menghancurkan Data Perusahaan

Baru-baru ini, sebuah insiden yang berlokasi di Timur Tengah di mana beberapa organisasi baik itu swasta maupun pemerintah menjadi korban serangan malware yang ditargetkan dan merusak dimana malware ini menyapu data dari komputer hingga diketahui bahwa para ahli mengatakan bahwa ini yang disebut Serangan Depriz Malware

Apa itu Depriz Malware?

Microsoft mengamati rantai infeksi Depriz diatur dalam gerakan oleh file eksekusi yang ditulis ke hardisk. Ini terutama berisi komponen-komponen malware yang dikodekan sebagai file bitmap palsu. File-file ini kemudian mulai menyebar keseluruh jaringan suatu perusahaan, setelah file tersebut dieksekusi.




Identitas file berikut dibawah ini terungkap sebagai gambar bitmap palsu dan diterjemahkan sebagai Trojan.

  • PKCS12 – sebuah komponen disk wiper yang merusak
  • PKCS7 – modul komunikasi
  • X509 – varian dari Trojan / implan 64-bit

Depriz malware kemudian menimpa data dalam konfigurasi database Windows Registry, dan di kedirektori sistem, dengan file gambar. Ia juga mencoba untuk menonaktifkan UAC pembatasan jarak jauh dengan menetapkan LocalAccountTokenFilterPolicy dengan nilai kunci registri untuk “1”.

Hasil dari peristiwa ini – sekali ini dilakukan, malware tersebut akan terhubung ke komputer target dan menyalin dirinya sebagai% System% \ ntssrvr32.exe atau% System% \ ntssrvr64.exe sebelum menetapkan layanan remote disebut “ntssv” atau sebagai tugas terjadwal.

Akhirnya, Depriz malware akan menginstal komponen wiper sebagai% System% \ <nama acak> .exe. Hal ini dapat menggunakan nama lain untuk meniru nama file dari aplikasi-aplikasi sistem yang sah. Fitur komponen wiper dikodekan sebagai file sumber daya gambar bitmap palsu.

Sumber daya encoded pertama biasanya adalah Driver yang sah disebut RawDisk dari Eldos Corporation yang memungkinkan komponen mode pengguna untuk bisa mengakses disk baku. Driver kemudian disimpan ke komputer sebagai% System% \ driver \ drdisk.sys dan diinstal dengan menciptakan layanan yang menunjuk dan menggunakan “sc create” dan “sc start”. Selain ini, malware ini juga mencoba untuk menimpa data pengguna di folder yang berbeda seperti Desktop, download, gambar, dokumen, dll.



Akhirnya, Ketika Anda mencoba untuk me-restart komputer setelah mematikan, ia hanya akan menolak untuk memuat dan tidak dapat menemukan sistem operasi karena MBR telah ditimpa. Mesin ini tidak lagi dalam keadaan untuk bisa boot dengan benar.

Sebagian besar masalah komputer yang terkait biasanya datang tanpa diundang dan menyebabkan kerusakan yang cukup besar. Namun sebenarnya hal ini dapat diminimalkan atau dihindari jika ada alat keamanan yang sesuai pada tempatnya. Untungnya, tim Intelijen Lanjutan dari Perlindungan Ancaman Windows Defender dan Windows Defender memberikan perlindungan round-the-clock, deteksi, dan respon terhadap ancaman ini.

Untungnya, pengguna Windows 10 bisa aman karena fitur built-in OS memiliki komponen keamanan yang proaktif, seperti Device Guard, yang meringankan ancaman ini dengan membatasi eksekusi aplikasi terpercaya dan driver kernel.

Selain itu, Windows Defender bisa mendeteksi dan mengenali semua komponen pada titik akhir sebagai Trojan: Win32 / Depriz.A dha, Trojan: Win32 / Depriz.B dha, Trojan: Win32 / Depriz.C dha, dan Trojan: Win32 / Depriz. D! dha.

Bahkan jika serangan telah terjadi, Windows Defender memiliki fitur Advanced Threat Protection (ATP) yang bisa mengatasinya, karena ini merupakan layanan keamanan pasca-pelanggaran yang dirancang untuk melindungi, mendeteksi dan merespon ancaman yang tidak diinginkan seperti pada Windows 10.

Seluruh kejadian mengenai serangan malware Depriz diketahui menyerang ke perusahaan minyak ketika komputer di yang tidak disebutkan namanya di Arab yang tidak dapat digunakan lagi setelah serangan malware. Microsoft menjuluki malware “Depriz” dan para penyerang sebagai”Terbium“, sesuai praktek internal perusahaan atas penamaan aktor dari ancaman setelah unsur kimia.



Comments