“技嘉驱动程序用于禁用RobbinHood Ransomware方案中的防病毒软件”

一家大型软件安全公司sophos的研究表明，名为robbinhood的勒索软件使用合法、易受攻击的技嘉驱动程序感染计算机系统，并继续接管。

此攻击在windows 7及更高版本的操作系统( oses )中有效。 据sophos报道，技嘉此前否认，驾驶员容易受到恐吓软件组织目前利用的漏洞的攻击。

技术嘉也是因为第一年丢了这个洞，当时安全研究者第一次向企业报告了这个洞。 最终，公众向技嘉施加了足够的压力，迫使其承认这一缺陷。

但是，该公司没有发布修补旧主板漏洞的补丁，并停止了对驱动程序的支持。 由于gigatebyte方面的这种错误评估，攻击者现在可以向未打补丁的驱动程序提供武器。

据sophos先生说，另一位负责人是verisign。 技嘉退出驱动程序两年后，verisign无法撤销签名证书，因此windows操作系统和多种反病毒程序默认信任驱动程序。 这样，攻击者就可以使用受信任的驱动程序安装另一个未在受害者的计算机上签名的驱动程序。

然后，攻击者使用这个新的驱动程序，首先在内存中修补windows内核，然后杀死杀毒程序和其他端点安全方案，以防止恐吓软件劫持机器。

一种恐吓软件

sophos的研究人员称，他们以前见过其他恐吓软件试图杀死反病毒程序，但从未见过恐吓软件使用可靠的第三方驱动程序来实现这个目的。

大多数安全处理方案都有一个受信任的程序列表，在所有安装中默认启用。 这是一家安全公司为了防止许多客户在结束许多误报时阻止程序而做出的妥协。 因为我不知道杀毒程序需要执行的操作。

本文：《“技嘉驱动程序用于禁用RobbinHood Ransomware方案中的防病毒软件”》