“旧的技嘉代码使文件加扰RobbinHood未被检测到”

sophos本月报道称，被称为robbinhood的恐吓软件最近采用了数字签名驱动程序的任意读写缺陷。 这个缺陷是被废弃的技嘉硬件在windows 7、8、10计算机上悄悄地关闭了安全措施。

sophos表示，问题是尽管技嘉最近停止了对驱动程序的支持和发货，但软件的加密签名仍然有效。 因此，如果恐吓软件欺骗其他攻击手段或受害者使其运行计算机并感染计算机，然后加载驱动程序，则操作系统和反病毒软件包将允许驱动程序合法。

到那时，勒索软件将利用技嘉驱动器的安全漏洞更改内存，绕过保护机制，在内核空之间注入恶意代码，完全破坏安全机制，创建文件扰码组件

sophos解释说，在这种攻击中，犯罪分子使用千兆字节驱动程序作为楔子形式，允许将第二个未签名的驱动程序加载到windows中。 其次，第二个驱动程序将竭尽全力杀死属于端点安全产品的流程和文件，绕过篡改保护，以确保恐吓软件能够不受干扰地攻击。

本文：《“旧的技嘉代码使文件加扰RobbinHood未被检测到”》