安全公司Sophos警告說，新的勒索軟件攻擊使用了易受攻擊的技嘉驅(qū)動(dòng)程序，試圖闖入Windows系統(tǒng)，然后禁用正在運(yùn)行的安全軟件。該攻擊基于2018年在技嘉驅(qū)動(dòng)程序中發(fā)現(xiàn)的安全漏洞，該安全漏洞在CVE-2018-19320中有詳細(xì)說明。

該驅(qū)動(dòng)程序在技嘉確認(rèn)該錯(cuò)誤后已被廢棄，它允許惡意攻擊者利用此漏洞來嘗試訪問設(shè)備并部署第二個(gè)驅(qū)動(dòng)程序，目的是殺死系統(tǒng)當(dāng)中的殺毒產(chǎn)品。Sophos表示，第二個(gè)驅(qū)動(dòng)程序會(huì)不遺余力地殺死屬于端點(diǎn)安全產(chǎn)品的進(jìn)程和文件，繞過篡改保護(hù)，使勒索軟件能夠在不受干擾的情況下進(jìn)行攻擊。這是安全研究人員第一次觀察到勒索軟件運(yùn)送一個(gè)微軟聯(lián)合簽名的第三方驅(qū)動(dòng)程序來修補(bǔ)內(nèi)存中的Windows內(nèi)核，以加載自己未簽名的惡意驅(qū)動(dòng)程序，并從內(nèi)核空間中刪除安全應(yīng)用程序

這次黑客使用的勒索軟件稱為RobbinHood，它要求受害者付款以解鎖其文件。贖金記錄上寫著，如果他們不付款，價(jià)格每天就會(huì)增加1萬美元。利用技嘉gdrv.sys驅(qū)動(dòng)程序的可執(zhí)行文件稱為Steel.exe，它提取Windows temp文件夾中名為ROBNR.exe的文件，該文件依次提取兩個(gè)不同的驅(qū)動(dòng)程序，一個(gè)由Gigabyte開發(fā)（易受攻擊），另一個(gè)用于禁用受損設(shè)備上的防病毒軟件。一旦該漏洞被利用，Windows驅(qū)動(dòng)程序簽名強(qiáng)制將被禁用，從而允許啟動(dòng)惡意驅(qū)動(dòng)程序。

Sophos表示，除了在勒索軟件攻擊中保持安全的常用做法外，沒有什么可以幫助用戶阻止該漏洞被黑客利用。