باج افزاری که آنتی ویروس را از کار میاندازد
اغلب وقتی یک نرمافزار آنتی ویروس روی سیستم خود داریم، خیالمان از بابت بدافزارها راحت است؛ اما یک تحقیق جدید نشان میدهد که آنقدرها هم نباید مطمئن باشیم.
گزارشی که شرکت امنیتی سوفوس منتشر کرده، حاکی از انتشار نوعی باج افزار جدید است که با حمله به درایورهای گیگابایت، سیستمهای ویندورزی را هدف قرار میدهد. این باج افزار، یک درایور دوم گیگابایت روی سیستم نصب میکند که باعث از کار افتادن نرمافزارهای آنتیویروس میشود.
این باج افزار از یک آسیبپذیری امنیتی استفاده میکند که در سال 2018 در درایورهای گیگابایت پیدا شد. گیگابایت وجود این باگ را تایید کرده است.
این نقص نرمافزاری به خرابکاران و هکرها اجازه میدهد که به دستگاه دسترسی بیابند و بدافزار خود را پیاده کنند که در صورت موفقیت، این بدافزار هر آنتی ویروس یا نرمافزارهای امنیتی معمول را روی پیسی از کار میاندازد.
سوفوس اعلام کرده که این درایور دوم، پردازشها و فایلهای هر نرمافزار امنیتی را بلاک میکند و با دور زدن نرمافزارهای امنیتی، امکان حمله باج افزار به کامپیوتر کاربران را فراهم میکند.
سوفوس بیان داشته که این بدافزار با استفاده از درایور یک شرکت ثالث مورت تایید مایکروسافت، اقدام به تغییر فایل کرنل برای بارگذاری درایور حاوی بدافزار خود میکند و اپلیکیشن امن را از روی کرنل حذف میکند.
این باج افزار به نام رابین هود (RobbinHood) شناخته میشود. گزارش سوفوس نشان میدهد که قربانیان این باجافزار باید برای باز شدن قفل فایلهایشان مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا میرود.
فایل اجرایی gigabyte gdrv.sys که این بدافزار استفاده میکند، Steel.exe است که فایلی با نام ROBNR.EXE را در پوشه موقت (temporary) ویندوز ایجاد میکند. این فایل نیز به نوبه خود دو درایور جداگانه را روی سیستم قرار میدهد که یکی از آنها درایور گیگابایت (دارای آسیب پذیری) و دیگری، نرمافزاری برای غیرفعال کردن آنتی ویروس است.
وقتی سیستم تحت حمله قرار بگیرد، سیستم تایید درایور ویندوز از کار میافتد تا اجازه اجرای درایور حاوی بدافزار داده شود.
جالب اینکه سوفوس معتقد است که راهی برای کمک به کاربران و جلوگیری از این حمله وجود ندارد و کاربران باید همچنان از نرمافزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.