डेप्रिज मैलवेयर हमलों के खिलाफ विंडोज 10 सुरक्षा

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2023-12-17 11:00

कंप्यूटर पर बढ़ती निर्भरता ने उन्हें साइबर हमलों और अन्य घृणित डिजाइनों के लिए अतिसंवेदनशील बना दिया है। में एक हालिया घटना मध्य पूर्व हुआ, जहां कई संगठन लक्षित और विनाशकारी हमलों से पीड़ित थे (Depriz मैलवेयर हमला) जो कंप्यूटर से डेटा मिटा देता है इस अधिनियम का एक शानदार उदाहरण प्रदान करता है।

Depriz मैलवेयर हमले

अधिकांश कंप्यूटर से संबंधित समस्याएं अप्रतिबंधित होती हैं और बड़े इरादे से क्षति का कारण बनती हैं। यदि उचित सुरक्षा उपकरण हैं तो इसे कम या बदला जा सकता है। सौभाग्य से, विंडोज डिफेंडर और विंडोज डिफेंडर एडवांस्ड थ्रेट प्रोटेक्शन थ्रेट इंटेलिजेंस टीमें इन खतरों के लिए घंटों की सुरक्षा, पहचान और प्रतिक्रिया प्रदान करती हैं।

माइक्रोसॉफ्ट ने देखा कि डेप्रिज संक्रमण श्रृंखला हार्ड डिस्क पर लिखित निष्पादन योग्य फ़ाइल द्वारा गति में सेट की गई है। इसमें मुख्य रूप से मैलवेयर घटक होते हैं जिन्हें नकली बिटमैप फ़ाइलों के रूप में एन्कोड किया जाता है। निष्पादन योग्य फ़ाइल चलाने के बाद, ये फ़ाइलें एंटरप्राइज़ के नेटवर्क में फैलने लगती हैं।

डीकोड किए जाने पर निम्न फ़ाइलों की पहचान ट्रोजन नकली बिटमैप छवियों के रूप में प्रकट हुई थी।

पीकेसीएस 12 - एक विनाशकारी डिस्क वाइपर घटक
पीकेसीएस 7 - एक संचार मॉड्यूल
X509 - ट्रोजन / इम्प्लांट के 64-बिट संस्करण

डेप्रीज मैलवेयर तब Windows रजिस्ट्री कॉन्फ़िगरेशन डेटाबेस में डेटा सिस्टम और सिस्टम निर्देशिका में डेटा को ओवरराइट करता है। यह स्थानीय एसीसीउंट टोकनफिल्टर पॉलिसी रजिस्ट्री कुंजी मान को "1" पर सेट करके यूएसी रिमोट प्रतिबंधों को अक्षम करने का भी प्रयास करता है।

इस घटना का नतीजा - एक बार ऐसा करने के बाद, मैलवेयर लक्ष्य कंप्यूटर से जुड़ता है और "ntssv" या निर्धारित समय वाली दूरस्थ सेवा को सेट करने से पहले% system% ntssrvr32.exe या% System% ntssrvr64.exe के रूप में प्रतिलिपि बनाता है। कार्य।

अंत में, डेप्रिज मैलवेयर वाइपर घटक को इंस्टॉल करता है % प्रणाली% ।प्रोग्राम फ़ाइल। यह वैध सिस्टम टूल्स के फ़ाइल नामों का अनुकरण करने के लिए अन्य नामों का भी उपयोग कर सकता है। वाइपर घटक नकली बिटमैप छवियों के रूप में अपने संसाधनों में एन्कोडेड फ़ाइलों को एन्कोड करता है।

पहला एन्कोडेड संसाधन एल्डोस कॉर्पोरेशन से रॉडडिस्क नामक वैध ड्राइवर है जो उपयोगकर्ता मोड घटक कच्चे डिस्क का उपयोग करने की अनुमति देता है। चालक को आपके कंप्यूटर पर सहेजा जाता है % प्रणाली% drivers drdisk.sys और "एससी बनाने" और "एससी स्टार्ट" का उपयोग करके इसे इंगित करने वाली एक सेवा बनाकर स्थापित किया गया है। इसके अलावा, मैलवेयर डेस्कटॉप, डाउनलोड, चित्र, दस्तावेज़ इत्यादि जैसे विभिन्न फ़ोल्डरों में उपयोगकर्ता डेटा को ओवरराइट करने का भी प्रयास करता है।

अंत में, जब आप शट डाउन करने के बाद कंप्यूटर को पुनरारंभ करने का प्रयास करते हैं, तो यह केवल लोड करने से इंकार कर देता है और ऑपरेटिंग सिस्टम को खोजने में असमर्थ है क्योंकि एमबीआर ओवरराइट किया गया था। मशीन ठीक से बूट करने के लिए राज्य में नहीं है। सौभाग्य से, विंडोज 10 उपयोगकर्ता तब से सुरक्षित हैं, ओएस में एक अंतर्निहित सक्रिय सुरक्षा घटक हैं, जैसे कि डिवाइस गार्ड, जो निष्पादन को विश्वसनीय अनुप्रयोगों और कर्नेल ड्राइवरों को प्रतिबंधित करके इस खतरे को कम करता है।

के अतिरिक्त, विंडोज प्रतिरक्षक ट्रोजन के रूप में एंडपॉइंट्स पर सभी घटकों का पता लगाता है और उपचार करता है: Win32 / Depriz.A! dha, Trojan: Win32 / Depriz.B! dha, Trojan: Win32 / Depriz.C! dha, और Trojan: Win32 / Depriz.D! dha।

यहां तक कि यदि कोई हमला हुआ है, तो विंडोज डिफेंडर एडवांस्ड थ्रेट प्रोटेक्शन (एटीपी) इसे संभाल सकता है क्योंकि यह विंडोज़ 10 में ऐसे अवांछित खतरों की रक्षा, पहचान और जवाब देने के लिए डिज़ाइन की गई एक पोस्ट-ब्रांच सुरक्षा सेवा है, माइक्रोसॉफ्ट का कहना है।

डेप्रिज मैलवेयर हमले के बारे में पूरी घटना तब सामने आई जब सऊदी अरब में अज्ञात तेल कंपनियों के कंप्यूटर मैलवेयर हमले के बाद अनुपयोगी हो गए। माइक्रोसॉफ्ट ने मैलवेयर "डेप्रिज" और हमलावरों "टेरबियम" को रासायनिक तत्वों के बाद खतरे के कलाकारों के नामकरण के आंतरिक अभ्यास के अनुसार डब किया।