勒索软件使用了微软签名的恶意 Windows 驱动

近日，微软取消了多个 Microsoft 硬件开发者账号。据了解，其安全研究人员称，他们发现了一种新的工具包，包含了名为 STONESTOP (加载器) 和 POORTRY（内核模式驱动）的组件被用于网络攻击，其中POORTRY有微软签名。目前，Microsoft 已发布 Windows 安全更新，撤销了受影响文件的证书，并停用了相应合作伙伴的卖方帐户。此外，Microsoft 还实施了屏蔽检测（Microsoft Defender 1.377.987.0 及更高版本），以协助保护客户免受在漏洞攻陷后的活动中恶意使用的合法签名驱动程序所带来的侵害。