I tisdags lyckades Microsoft stoppa ett stort cyberangrepp där 400 000 Windowsanvändare var nära att infekteras med kryptokapare. Det skriver Bleeping Computer. Kryptokaparna skulle tryckas ut till datorer som var infekterade med Dofoil, ett program som används för att distribuera ut annan skadlig kod (också känt som Smoke Loader).

Men Windows Defender, det inbyggda säkerhetsprogrammet i Windows, upptäckte det hela i tid.

”Initialt flaggade Windows Defender AV angreppets ovanliga ’persistance mechanism’ genom beteendeövervakning, vilket genast skickade beteendebaserade signaler till vår skyddstjänst i molnet”, skriver Mark Simos, Microsofts chef för säkerhetsarkitektur, i ett blogginlägg.

En ”persistance mechanism” är den metod en oönskad mjukvara använder för att hålla sig kvar på datorn och undgå upptäckt. Dofoil gör detta genom att starta en ny instans av explorer.exe och injicera egen kod i den processen, som sedan döper om och flyttar själva Dofoil-filen. Därefter lägger den in pekare till den nya sökvägen i registret.

Läs också: Kryptokapningar är de kriminellas nya favorit – så skyddar du dig

Vem som låg bakom angreppet är ännu okänt, men förövarna tycks ha ställt siktet på Ryssland – hela 73 procent av alla utsatta datorer fanns i det landet. 18 procent fanns i Turkiet och 4 procent i Ukraina.

Enligt Microsoft ska alla användare av Windows 10, Windows 8.1 och Windows 7 vara skyddade mot just den här angreppsmetoden förutsatt att de har Windows Defender.

Läs också: Ny kryptokapare kastar ut andra kryptokapare för att slippa konkurrens

”Dofoil är den senaste malware-familjen som inkorporerar kryptokapare i sina attacker. Då bitcoin och andra kryptovalutor fortsätter öka i värde har operatörerna sett möjligheterna med kapar-komponenter”, skriver Mark Simos.