Antivirüsünüzü Devre Dışı Bırakan Fidye Yazılımı Bulundu
Beşerler bilgisayarlarına antivirüs yüklediklerinde genel manada inançta olduklarını düşünüyorlar. Fakat yeni yapılan bir araştırma, sisteminizde …
Beşerler bilgisayarlarına antivirüs yüklediklerinde genel manada inançta olduklarını düşünüyorlar. Fakat yeni yapılan bir araştırma, sisteminizde antivirüs olsa dahi hiçbir vakit sandığınız kadar inançta olmayacağınızı ortaya koyuyor. Araştırmaya nazaran hackerlar artık antivirüsleri devre dışı bırakmak için tekrar antivirüsleri kullanıyor.
Sophos isimli bir güvenlik şirketinin yaptığı araştırma, yeni bir “ransomware (fidye yazılımı)” yazılımının Windows sistemlerini işgal edebileceğini ortaya çıkardı. Yazılım, Gigabyte’ın şoförlerine saldırarak Windows sistemine sızmayı başarıyor. Akabinde sisteme ikinci bir şoför yükleyerek çalışmakta olan antivirüsü devre dışı bırakıyor.
2018 yılında keşfedilen bir açıktan faydalanılıyor:
Ransomware, 2018 yılında Gigabyte’ın keşfettiği bir açıktan faydalanıyor. Gigabyte, bu türlü bir açığın sistemlerde mevcut olduğunu daha evvel kabul etmişti. Bu açık sayesinde hackerlar, sisteme basitçe ulaşabiliyor ve bu bilgisayardaki antivirüsü devre dışı bırakarak hareketlerini rahatça gerçekleştiriyor.
Hackerların sisteme yükledikleri ikinci şoför, sistemde bulunan antivirüsün süreçlerini ve evraklarını engelliyor. Böylelikle hiçbir dirençle karşılaşmayan virüs rahat bir formda kurbanının bilgisayarına yerleşiyor. Sophos, böylesine bir virüsün birinci defa keşfedildiğinden de açıklamasında bahsetti.
Ransomware, üzerinde Microsoft’un da imzasının olduğu üçüncü parti bir sürücüyü kullanıyor. Bu şoför, kendi makûs gayeli şoförünü yüklemek için kernel evraklarını değiştirebiliyor. Kernel evrakları değişen olağan şoför böylece büsbütün devre dışı kalıyor.
Ransomware, kurbanlarından fidye talep etmek isteyen makus gayeli hackerların kullandığı bir yazılım. Haberlere nazaran hackerların kurbanı olan şahıslar bilgisayarlarındaki evraklara erişmek için fiyat ödemek zorundalar. Şayet kurban fiyat ödemezse, ödemeleri gereken fiyata her geçen gün 10.000 dolar daha ekleniyor.
Hackerların kullandığı Gigabyte’ın gdrv.sys sürücüsündeki yürütülebilir evrakın ismi Steel.exe. Bu, ROBNR.EXE isimli bir belgeyi çıkarıyor ve bunu Windows’un süreksiz belgeler kısmına aktarıyor. ROBNR.EXE, biri Gigabyte’ın olmak üzere iki farklı şoför yüklüyor.