BezpečnosťSpravodajstvo

Najnovšie objavený ransomware „RobbinHood“ je schopný vypnúť antivírusové programy v počítači

Analytici zo spoločnosti Sophos narazili na sofistikovaný ransomware „RobbinHood", ktorý je schopný vypnúť antivírusové programy v počítači.

Pre mnohých z nás antivírusový program je akousi garanciou bezpečnosti. Nemusí to však vždy platiť.Najnovší výstup analytikov zo spoločnosti Sophos, na ktorý poukazuje portál Gizmochina.com hovorí, že v teoretickom ohrození sú mnohí používatelia, ktorí využívajú Gigabyte ovládače.

Chyba v Gigabyte ovládačoch, ktorá je problémovou, bola objavená ešte v priebehu v roku 2018 a do dnešného dňa nie je kompletne vyriešenou. Reč je konkrétne o chybe „CVE-2018-19320“ a podľa oficiálneho popisu umožňuje útočníkom prebrať kontrolu nad počítačom:

„Ovládač nízkej úrovne GDrv v aplikácii GIGABYTE APP Center v1.05.21 a starších verziách, AORUS GRAPHICS ENGINE pred 1.57, XTREME GAMING ENGINE pred 1,26 a OC GURU II v2.08 odhaľuje funkcie podobné typu ring0, ktoré umožňujú útočníkovi prebrať  kontrolu nad postihnutým systémom.“

Analytici zo Sophos hovoria, že nový Ransomware (pozn. redakcie: Ransomware je typ softwaru, ktorý  zašifruje dáta a žiada od používateľov výkupne. Často nainštaluje aj ďalší software bez vedomia používateľov. Väčšinou ide o vírus) je schopný za pomoci využitia chyby v ovládačoch do počítača nahrať software, ktorý vypne bežiaci antivírusový program.

„…Druhý ovládač blokuje procesy a súbory bezpečnostného softvéru. Obchádza ochranu pred neoprávnenou manipuláciou a umožňuje ransomware útočiť na počítače používateľov bez prerušenia … toto je prvýkrát, čo tento ransomware sledujeme. Softvér používa ovládač tretej strany podpísaný spoločnosťou Microsoft na úpravu súboru jadra tak, aby sa načítal jeho vlastný nepodpísaný škodlivý ovládač a odstránila zabezpečená aplikácia z jadra. “ píše sa v správe uverejnenej analytikmi spoločnosti Sophos.

robbinhood-ransom-note
Zdroj: sophos.com

Škodlivý, ktorý bol pomocou tohto  Ransomware  nainštalovaný sa volá RobbinHood. Podľa popisu vyššie, ktorý môžete vidieť žiada výkupné, v inom prípade zostane počítač zablokovaný. Zároveň útočníci urgujú majiteľov napadnutých počítačov tým, že ak nezaplatia do 4 dní, tak výkupné bude neskôr dosahovať hodnotu 10-tisíc dolárov denne.

Sophos ďalej popisuje, ako tento škodlivý kód funguje. Škodlivý kód pozostáva z viacerých vložených súborov v STEEL.EXE, ktorý extrahuje ďalšie súbory, ktoré sa ukladajú v priečinku s dočasnými súbormi – C:\WINDOWS\ TEMP.

  • EXE Kill application – Táto aplikácia zabíja procesy a súbory bezpečnostných produktov pomocou ovládačov jadra.
  • EXE Inštalátor ovládača – Nasadzuje nezdravý, podpísaný ovládač tretej strany aj nepodpísaný ovládač útočníkov. Po nasadení sa nepodpísaný ovládač načíta zneužitím známej zraniteľnosti v ovládači Gigabyte.
  • Zraniteľný ovládač jadra GDRV.SYS – Zastaraný ovládač podpísaný spoločnosťou Authenticode, ktorý obsahuje chybu zabezpečenia.
  • SYS – Škodlivý ovládač jadra, ktorý dokáže zabíjať procesy a mazať súbory z jadra.
  • TXT – Zoznam procesov (a ich pridružených súborov), ktoré sa majú zastaviť. Toto je textový súbor obsahujúci názvy aplikácií, ktoré škodlivý ovládač zastaví a odstráni. Tento textový súbor nie je vložený do STEEL.EXE a môže byť prispôsobený prostrediu obete.

V závere spoločnosť dodáva, že sa týmto typom útokov používatelia v podstate nemajú ako vyhnúť, môžu ich však aspoň čiastočne eliminovať. Preto Sohpos odporúčame neinštalovať neznámy software do počítača, neotvárať podozrivé správy a nepreberať z nich súbory, používať viacfaktorové overenia, pravidelne aktualizovať software a využívať antivírusové programy.

Prihláste sa do odberu tých najnovších informácií a správ z portálu VoSveteIt.sk

Odoslaním e-mailu dávate súhlas s podmienkami ochrany súkromia. Nezabudnite odber potvrdiť ešte v e-maile, ktorý Vám bude doručený

Mohlo by Vás zaujímať

Tagy
ransomware Sophos

Martin Borko

Som zakladateľom portálu Vosveteit.sk, ktorý dnes patrí medzi väčšie technologické webové stránky na Slovensku.
Close
Close