İnsanlar bilgisayarlarına antivirüs yüklediklerinde genel anlamda güvende olduklarını düşünüyorlar. Ancak yeni yapılan bir araştırma, sisteminizde antivirüs olsa dahi hiçbir zaman sandığınız kadar güvende olmayacağınızı ortaya koyuyor. Araştırmaya göre hackerlar artık antivirüsleri devre dışı bırakmak için yine antivirüsleri kullanıyor.
Sophos isimli bir güvenlik şirketinin yaptığı araştırma, yeni bir “ransomware (fidye yazılımı)” yazılımının Windows sistemlerini işgal edebileceğini ortaya çıkardı. Yazılım, Gigabyte’ın sürücülerine saldırarak Windows sistemine sızmayı başarıyor. Ardından sisteme ikinci bir sürücü yükleyerek çalışmakta olan antivirüsü devre dışı bırakıyor.
2018 yılında keşfedilen bir açıktan faydalanılıyor:
Ransomware, 2018 yılında Gigabyte’ın keşfettiği bir açıktan faydalanıyor. Gigabyte, böyle bir açığın sistemlerde mevcut olduğunu daha önce kabul etmişti. Bu açık sayesinde hackerlar, sisteme kolayca ulaşabiliyor ve bu bilgisayardaki antivirüsü devre dışı bırakarak eylemlerini rahatça gerçekleştiriyor.
Hackerların sisteme yükledikleri ikinci sürücü, sistemde bulunan antivirüsün işlemlerini ve dosyalarını engelliyor. Böylece hiçbir dirençle karşılaşmayan virüs rahat bir şekilde kurbanının bilgisayarına yerleşiyor. Sophos, böylesine bir virüsün ilk kez keşfedildiğinden de açıklamasında bahsetti.
Ransomware, üzerinde Microsoft’un da imzasının olduğu üçüncü parti bir sürücüyü kullanıyor. Bu sürücü, kendi kötü amaçlı sürücüsünü yüklemek için kernel dosyalarını değiştirebiliyor. Kernel dosyaları değişen normal sürücü böylelikle tamamen devre dışı kalıyor.
Ransomware, kurbanlarından fidye talep etmek isteyen kötü amaçlı hackerların kullandığı bir yazılım. Haberlere göre hackerların kurbanı olan kişiler bilgisayarlarındaki dosyalara erişmek için ücret ödemek zorundalar. Eğer kurban ücret ödemezse, ödemeleri gereken ücrete her geçen gün 10.000 dolar daha ekleniyor.
Hackerların kullandığı Gigabyte’ın gdrv.sys sürücüsündeki yürütülebilir dosyanın ismi Steel.exe. Bu, ROBNR.EXE isimli bir dosyayı çıkarıyor ve bunu Windows’un geçici dosyalar bölümüne aktarıyor. ROBNR.EXE, biri Gigabyte’ın olmak üzere iki farklı sürücü yüklüyor.
