根据领先的软件安全公司Sophos的研究，一个名为“RobbinHood”的软件一直在使用合法但易受攻击的千兆字节驱动程序来感染计算机系统并接管它们。

这种攻击适用于Windows 7和更高版本的操作系统。根据Sophos的说法，Gigabyte此前否认其驱动程序容易受到软件组织利用的漏洞的攻击。

Gigabyte也应该为最初在2018年取消该漏洞而受到指责，当时安全研究人员首次向该公司报告了该漏洞。最后，公众对千兆字节施加了足够的压力，让其承认这一缺陷。

然而，该公司没有发布补丁来修复其旧主板的漏洞，而是停止了对驱动程序的支持。这种对千兆字节的误判现在使攻击者能够为他们未修补的驱动程序提供武器。

Sophos说，另一个负责方是Verisign。在Gigabyte终止驱动两年后，由于Verisign未能撤销其签名证书，Windows操作系统和许多防病毒程序仍然默认“信任”该驱动。这允许攻击者使用受信任的驱动程序在受害者的计算机上安装另一个未签名的驱动程序。

之后，攻击者将使用这个新的驱动程序首先修复内存中的Windows内核，并杀死防病毒程序和其他端点安全解决方案，以防止ransomware接管机器。

一种瓷器

Sophos的研究人员表示，尽管他们之前看到过其他ransomware试图杀死防病毒程序，但他们从未见过ransomware使用可信的第三方驱动程序来实现这一目的。

大多数安全解决方案在所有安装中都默认启用了某种“可信程序”列表。这是安全公司为了杜绝大量误报，避免太多用户屏蔽程序而做出的妥协，因为他们不知道杀毒程序要求他们做什么。