Hackerek új módszerrel kerülik meg a Microsoft Defender védelmét, és telepítik a veszélyes Akira zsarolóvírust (Akira ransomware) számítógépekre. Az eljárás során kihasználnak egy eredetileg ártalmatlan drivert, amelyet Intel processzorokhoz használnak teljesítményhangolásra; ennek neve rwdrv.sys. Ezt a rendszerek módosítás nélkül engedélyezik, így a támadók gond nélkül futtathatják.
Meghekkelés lépésről lépésre
A hackerek először betöltik a rwdrv.sys drivert, amely önmagában semmilyen gyanús tevékenységet nem végez. Ezen keresztül azonban bejuttatják a valódi rosszindulatú programot, a hlpdrv.sys-t, amely már képes leállítani a Windows Defender működését. Ettől kezdve szabadon folytatják tevékenységüket: települ a zsarolóvírus, lezárják a fájlokhoz való hozzáférést, majd váltságdíjat követelnek.
Mit lehet tenni?
Július közepe óta terjed ez a támadási forma. A Microsoft még nem adott ki javítást. A fertőzés elkerülése érdekében érdemes további védelmet, például megbízható, harmadik féltől származó vírusirtót telepíteni a Windows gépekre – és mindig legyünk óvatosak ismeretlen alkalmazásokkal és fájlokkal.
