Home Uusi BYOVD -hyökkäys voi kiertää Microsoftin puolustajan ja asentaa ransomware - kuinka suojata itseäsi

Uusi BYOVD -hyökkäys voi kiertää Microsoftin puolustajan ja asentaa ransomware - kuinka suojata itseäsi

Uusi BYOVD (tuo oma haavoittuva kuljettaja) hyökkäys hyödyntää laillista, allekirjoitettua kuljettajaa, joka sisältää haavoittuvuuden. Tämän avulla hyökkääjät voivat saavuttaa ytimen tason koodin suorittamisen, ohittaa Microsoft Defenderin ja asentaa ransomware. Vältä uhrin putoamisen, noudata tämän oppaan suojatoimenpiteitä.

Sisällysluettelo

Kuinka BYOVD -hyökkäys kiertää Microsoftin puolustajien suojaa

Tämä BYOVD-hyökkäys hyödyntää RWDRV.SYS-kuljettajaa ytimen tason pääsyn saamiseksi ja ottaa sitten haitalliset HLPDRV.SYS-ohjaimet pois Microsoft Defender -kilpien poistamiseksi rekisteristä. RWDRV.SYS -ohjain asennetaan ja käytetään yleensä optimointisovellukset, kuten throttlestop tai jotkut tuulettimen ohjaussovellukset. Se on laillinen kuljettaja, mutta sitä voidaan hyödyntää ytimen tason pääsyn saamiseksi. Näin hyökkäys toimii:

  • Hakkerit pääsevät tietokoneeseen. Yleensä vaarantamalla verkko, mutta se voidaan tehdä myös etäkäyttörekoijalaisilla (rotta).
  • He asentavat RWDRV.SYS -ohjaimen, jonka Windows luottaa oletuksena.
  • RWDRV.SYS -ohjaimen avulla he saavat ytimen etuoikeudet haitallisen hlpdrv.sys -ohjaimen asentamiseen.
  • Hlpdrv.sys muokkaa Windows Registry -arvoja Microsoft Defender Shieldsin poistamiseksi käytöstä.
  • Suojaa poistettuna hyökkääjä asentaa ransomware -ohjelmat tai suorittaa muita haitallisia työkaluja.

Toistaiseksi Akira -lunastusohjelma liittyy näihin hyökkäyksiin, mutta suojaa alaspäin haitalliset toimijat voivat tehdä mitä haluavat. Seuraa alla olevia suojaustoimenpiteitä pysyäksesi turvassa:

Ota Windowsin suojausominaisuudet käyttöön

On Windows -tietoturvaominaisuuksia, jotka voivat estää tällaisten hyökkäysten tapahtumisen tai jopa suojautuvan, kun Microsoft Defender -suojat ovat alhaalla. Hae “Windows Security” Windows -haussa, avaa Windows Security -sovellus ja ota oletusarvoisesti poistettu käytöstä seuraavat suojausominaisuudet.

  • Ohjattu kansioiden käyttö:Tämä ominaisuus on ransomware -suojausominaisuus, joka vastustaa hyökkäyksiä jopa puolustajien suojaan. Mennä jhkVirus- ja uhkien suojausHallitse asetuksiaHallitse ohjattua kansiotaja ottaa käyttöönOhjattu kansioiden käyttöVaihda. Voit sitten lisätä suojattuja kansioita, jotka vastustavat lunasohjelma -hyökkäyksiä.
  • Ydineristysominaisuudet:Ydineristysominaisuudet voivat estää haavoittuvien ohjaimien asentamisen ja haitallisen koodin suorittamisen. Jos kaikki ovat käytössä, se lisää huomattavasti suojausta, ja BYOVD ei ehkä edes tule järjestelmää. Mennä jhkLaitteen turvallisuusja avoinYdineristystiedot. Sinun tulisi ottaa kaikki täällä kaikki ominaisuudet, mutta muistin eheys saattaa edellyttää kuljettajan hallintaa.

Monet ytimen tasolla toimivat apuohjelmatyökalut käyttävät RWDRV.SYS -ohjainta. Jos tämä haavoittuva kuljettaja on jo läsnä, se voi tehdä hakkereiden työstä paljon helpompaa, koska heidän ei tarvitse asentaa omaa kopioaan. Itse asiassa viimeaikaisissa hyökkäyksissä käytettiin jo asennettua ohjainta. Jos se ei ole välttämätöntä, sinun tulee välttää käyttötyökalujen käyttöä, jotka asentavat rwdrv.sys, kuten throttlestop tai rweverything.

Ehdotettu lukeminen:Mikä on mies-in-the-Prompt -hyökkäys ja kuinka suojata itseäsi

Jos haluat vahvistaa, jos sinulla on RWDRV.SYS asennettu, etsi “cmd” Windows-hausta, napsauta hiiren kakkospainikkeellaKomentokehotusja napsautaJärjestelmänvalvojana. Suorita komentowhere /r C: rwdrv.sysja anna sen skannata. Jos RWDRV.SYS -ohjain löytyy, sinun on löydettävä sovellus, joka asensi sen ja poistaa sen.

Käytä vakiotiliä päivittäiseen käyttöön

Paras suojaus suosittelemme aina, että emme käytä järjestelmänvalvojan tiliä ja riippuen vakiotilistä päivittäistä käyttöä varten. BYOVD: tä vastaan tämä on erityisen tärkeää. Tämä hyökkäys riippuu voimakkaasti järjestelmänvalvojan oikeuksista haavoittuvan ohjaimen asentamiseksi tai sen hyödyntämiseksi.

Vakiotilillä hakkerit eivät voi tehdä korotettuja muutoksia tietokoneeseen, joten hyökkäys pysähtyy alusta alkaen. Jos he yrittävät, sinulle ilmoitetaan toiminnasta. Voit luoda uuden vakiotilin avaa WindowsAsetuksetJa mennäTilitMuut käyttäjätLisätä tiliä. Seuraa uuden tilin luomista ja aseta sen ohjeitaStandardi.

Käytä erilaista virustorjuntaohjelmistoa

Tällä hyökkäyksellä on erityisesti ohjeet Microsoft Defender Shieldsin poistamiseksi; Samat ohjeet eivät toimi muissa kolmansien osapuolien virustentorjuntaohjelmistoissa. Kolmansien osapuolen virustorjuntaohjelmat käyttävät erilaisia menetelmiä Shield-on/OFF-toimintojen hallintaan, tällaiset hyökkäykset eivät voi hyödyntää niitä yleisen ohjeen avulla.

Asenna vain ilmainen virustorjuntaohjelma reaaliaikaisella skannauksella pysyäksesi turvassa, kutenAivasttaiAvg Antivirus.

Turvallisuustutkijat (GuidePoint, Kaspersky ja muut) ovat jo seuranneet Akira -lunasohjelmia käyttämällä RWDRV.SYS: ää BYOVD -hyökkäyksissä ja julkaissut KOK: itä. Toivottavasti Microsoft tekee jotain tästä uhasta lähitulevaisuudessa. Olla vain turvallinen, ota kaikki Windows -suojausominaisuudet, erityisesti edistyneitä Microsoft Defender -ominaisuuksia.

Related Posts

7 parhainta tapaa korjata F1 TV Airplay Ei toimi 2025

7 parhainta tapaa korjata F1 TV Airplay Ei toimi 2025

2025-02-28
Verizonin automaattisen maksun veloitukseni hiipii yhä aikaisemmin: Näin korjasin sen

Verizonin automaattisen maksun veloitukseni hiipii yhä aikaisemmin: Näin korjasin sen

2025-11-05
Kuinka korjata Excel ei voi avata tiedostoa, koska tiedostomuoto tai laajennus ei ole kelvollinen virhe

Kuinka korjata Excel ei voi avata tiedostoa, koska tiedostomuoto tai laajennus ei ole kelvollinen virhe

2025-09-02
Kuinka estää Microsoft React kuvakaappaukset Signal App

Kuinka estää Microsoft React kuvakaappaukset Signal App

2025-08-22
8 parasta kamerasovellusta iPhonelle vuonna 2025

8 parasta kamerasovellusta iPhonelle vuonna 2025

2025-08-20
Paras Windowsin VPN vuonna 2025

Paras Windowsin VPN vuonna 2025

2024-08-28
Paras Etiopia VPN vuonna 2025

Paras Etiopia VPN vuonna 2025

2024-11-20
Kuinka tyhjentää sovellusvälimuisti iPhonessa poistamatta sovelluksia

Kuinka tyhjentää sovellusvälimuisti iPhonessa poistamatta sovelluksia

2025-07-20
Hanki Sony Bravia Core Streaming Service blu-ray-laadulla

Hanki Sony Bravia Core Streaming Service blu-ray-laadulla

2024-08-30
Kuuban paras VPN vuonna 2025

Kuuban paras VPN vuonna 2025

2024-11-08
Kuinka katsella Formula 1 (F1)

Kuinka katsella Formula 1 (F1)

2025-08-18
Kuinka katsella Hulua Irlannissa vuonna 2025

Kuinka katsella Hulua Irlannissa vuonna 2025

2025-02-14
Kuinka ohittaa ylenmääräisen kielto VPN: n kanssa vuonna 2025

Kuinka ohittaa ylenmääräisen kielto VPN: n kanssa vuonna 2025

2025-04-21
BlackBerry lisää ennusteita kyberturvallisuuden kysynnän lisääntyessä

BlackBerry lisää ennusteita kyberturvallisuuden kysynnän lisääntyessä

2025-06-25
Paras VPN TextPlus

Paras VPN TextPlus

2024-12-11