Najnovšie objavený ransomware „RobbinHood“ je schopný vypnúť antivírusové programy v počítači
Analytici zo spoločnosti Sophos narazili na sofistikovaný ransomware „RobbinHood", ktorý je schopný vypnúť antivírusové programy v počítači.
Pre mnohých z nás antivírusový program je akousi garanciou bezpečnosti. Nemusí to však vždy platiť.Najnovší výstup analytikov zo spoločnosti Sophos, na ktorý poukazuje portál Gizmochina.com hovorí, že v teoretickom ohrození sú mnohí používatelia, ktorí využívajú Gigabyte ovládače.
Chyba v Gigabyte ovládačoch, ktorá je problémovou, bola objavená ešte v priebehu v roku 2018 a do dnešného dňa nie je kompletne vyriešenou. Reč je konkrétne o chybe „CVE-2018-19320“ a podľa oficiálneho popisu umožňuje útočníkom prebrať kontrolu nad počítačom:
„Ovládač nízkej úrovne GDrv v aplikácii GIGABYTE APP Center v1.05.21 a starších verziách, AORUS GRAPHICS ENGINE pred 1.57, XTREME GAMING ENGINE pred 1,26 a OC GURU II v2.08 odhaľuje funkcie podobné typu ring0, ktoré umožňujú útočníkovi prebrať kontrolu nad postihnutým systémom.“
Analytici zo Sophos hovoria, že nový Ransomware (pozn. redakcie: Ransomware je typ softwaru, ktorý zašifruje dáta a žiada od používateľov výkupne. Často nainštaluje aj ďalší software bez vedomia používateľov. Väčšinou ide o vírus) je schopný za pomoci využitia chyby v ovládačoch do počítača nahrať software, ktorý vypne bežiaci antivírusový program.
„…Druhý ovládač blokuje procesy a súbory bezpečnostného softvéru. Obchádza ochranu pred neoprávnenou manipuláciou a umožňuje ransomware útočiť na počítače používateľov bez prerušenia … toto je prvýkrát, čo tento ransomware sledujeme. Softvér používa ovládač tretej strany podpísaný spoločnosťou Microsoft na úpravu súboru jadra tak, aby sa načítal jeho vlastný nepodpísaný škodlivý ovládač a odstránila zabezpečená aplikácia z jadra. “ píše sa v správe uverejnenej analytikmi spoločnosti Sophos.
Škodlivý, ktorý bol pomocou tohto Ransomware nainštalovaný sa volá RobbinHood. Podľa popisu vyššie, ktorý môžete vidieť žiada výkupné, v inom prípade zostane počítač zablokovaný. Zároveň útočníci urgujú majiteľov napadnutých počítačov tým, že ak nezaplatia do 4 dní, tak výkupné bude neskôr dosahovať hodnotu 10-tisíc dolárov denne.
Sophos ďalej popisuje, ako tento škodlivý kód funguje. Škodlivý kód pozostáva z viacerých vložených súborov v STEEL.EXE, ktorý extrahuje ďalšie súbory, ktoré sa ukladajú v priečinku s dočasnými súbormi – C:\WINDOWS\ TEMP.
Neprehliadni
- EXE Kill application – Táto aplikácia zabíja procesy a súbory bezpečnostných produktov pomocou ovládačov jadra.
- EXE Inštalátor ovládača – Nasadzuje nezdravý, podpísaný ovládač tretej strany aj nepodpísaný ovládač útočníkov. Po nasadení sa nepodpísaný ovládač načíta zneužitím známej zraniteľnosti v ovládači Gigabyte.
- Zraniteľný ovládač jadra GDRV.SYS – Zastaraný ovládač podpísaný spoločnosťou Authenticode, ktorý obsahuje chybu zabezpečenia.
- SYS – Škodlivý ovládač jadra, ktorý dokáže zabíjať procesy a mazať súbory z jadra.
- TXT – Zoznam procesov (a ich pridružených súborov), ktoré sa majú zastaviť. Toto je textový súbor obsahujúci názvy aplikácií, ktoré škodlivý ovládač zastaví a odstráni. Tento textový súbor nie je vložený do STEEL.EXE a môže byť prispôsobený prostrediu obete.
V závere spoločnosť dodáva, že sa týmto typom útokov používatelia v podstate nemajú ako vyhnúť, môžu ich však aspoň čiastočne eliminovať. Preto Sohpos odporúčame neinštalovať neznámy software do počítača, neotvárať podozrivé správy a nepreberať z nich súbory, používať viacfaktorové overenia, pravidelne aktualizovať software a využívať antivírusové programy.
Komentáre