Sophos表示:“第二个驱动程序会阻断安全软件的进程和文件,绕过篡改保护,使勒索软件能够不受干扰地对用户电脑进行攻击”,“这是我们第一次观察到有勒索软件通过利用拥有微软联合签名的第三方驱动程序来修改内核文件进而达到加载自己未签名的恶意驱动程序,并从内核中删除安全应用程序的目的。”
恶意驱动程序
黑客使用的勒索软件为RobbinHood,受害者必须通过付款的方式以解锁文件。赎金记录显示,如果受害者不付款的话,赎金额度就会以10,000美元/天的速度上升。
被利用的技嘉gdrv.sys驱动程序的可执行文件被称为Steel.exe,它在Windows临时文件夹中提取一个名为ROBNR.EXE的文件,该文件提取了两个不同的驱动程序,一个是技嘉开发的(易受攻击的驱动程序),和另一个用于在受感染设备上禁用防病毒软件的软件。受害者电脑一旦被利用,Windows驱动程序签名将被强制禁用进而允许恶意驱动程序启动。
Sophos表示,除了继续使用安全软件阻止攻击外目前尚无能够帮助用户阻止自己的PC被利用的办法,因为即使是安装了完整补丁程序的计算机也有可能受到威胁。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。