By subverting kernel memory settings in Windows 7, Windows 8 and Windows 10, the RobbinHood ransomware can now delete cyber security defences from target systems.
This is the first time we have seen ransomware bring its own legitimately signed, albeit vulnerable, third-party driver to take control of a device and use that to disable the installed security software, bypassing the features specially designed to prevent such tampering. Killing the protection leaves the malware free to install and execute the ransomware uninterrupted.
Nem mindenki érintett ebben az esetben, de ha elharapódzik ez a módszer, sokakat megfertőzhet egy ilyen támadás.
A trükk “egyszerű”: Találtak egy érvényes digitális aláírással rendelkező, de már régen nem frissített drivert, amiben van egy régi hiba. Ezt a hibát a driver gyártójának kellene kijavítania, de már nem foglalkoznak ezzel a régi szoftverrel - viszont sokan használják még. Szóval, ez egy lyuk a Windows gondosan felépített védelmi rendszerén, hiszen egy “érvényes” driver bele tud piszkálni a rendszerbe, és még a védelmi szoftvereket is ki tudja lőni. Utána pedig szabad a pálya a támadáshoz.
#Windows #Gigabyte #driver #ransomware #Verisign