Jump to content

Вирус RobbinHood атакует ПК через брешь в драйверах Gigabyte


Recommended Posts

Несколько дней назад специалисты британской компании Sophos сообщили о проблеме на ПК, где используются драйверы Gigabyte. Как оказалось, в них есть уязвимость, позволяющая отключать антивирусы и брать компьютеры под контроль. Проблема проявляется на Windows 7, Windows 8 и Windows 10. Сначала злоумышленники осуществляют установку легального драйвера Gigabyte GDRV.SYS, через который можно получить доступ к ядру. После этого система проверки подписи драйверов в Windows временно отключается, а затем производится установка драйвера RBNL.SYS, который позволяет остановить антивирусы на локальный машине, «убивает» процессы и удаляет файлы систем безопасности, а также блокируют доступные способы восстановления ОС.

 

sm.remove_virus_windows_1600_thumb1200_4-3.750.jpg

 

Наконец, после этого запускается вирус-вымогатель RobbinHood. Это вредоносное ПО зашифровывает файлы и выставляет цену в $10 тысяч, причём каждый день «просрочки» увеличивает сумму ещё на $10 тысяч. По данным экспертов это не единственный случай. Схожие бреши есть в приложения VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), а также ASUS (CVE-2018-18537). Однако активное применение зафиксировано только для драйвера Gigabyte (CVE-2018-19320).

 

virus-Nodersok.jpg

 

Самое интересное, что уязвимость была обнаружена ещё в 2018 году. Однако в Gigabyte сначала заявили, что бреши не существует, а после публикации эксплойта просто прекратили разработку этого драйвера. В свою очередь, сертификат компании Verisign, которым подписан драйвер, до сих пор не отозван, а само уязвимое ПО можно загрузить и сегодня. Учитывая, что против уязвимости не помогут ни антивирусы, ни разработчики, специалисты из Sophos рекомендуют ввести многофакторную аутентификацию, использовать сложные пароли, ограничивать права доступа и регулярно делать бэкапы, которые должны храниться на изолированных машинах.

____________________________________________________________
♦♦♦♦♦♦♦♦◄♫►WeissRussland◄♫►♦♦♦♦♦♦◄♠GRODNO♠►♦♦♦♦♦♦♦♦
---------------------------------------------------------------------------------------------------------
♠ 75.0°e ♣ 53.0°e ♦ 36.0°e ♥ 19.2°e ♠ 13.0°e ♥ 4.8°e ♠ 4.0°w ♣ 5.0°w ♦
____________________________________________________________

Link to comment

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...