Intel system что это за драйвер

Обновлено: 07.07.2024

О программе

Intel Graphics Drivers – пакет драйверов и программного обеспечения, необходимых для правильной работы графических процессоров Intel и обеспечения высокой производительности в играх и программах

Что нового

Новое в версии 30.0.101.1121 Beta :

Новое в версии 30.0.101.1069 DCH :

Новое в версии 27.20.100.9466 DCH (16.04.2021):

Новое в версии 15.36.41.5180 (16.04.2021):

Новое в версии 15.40.48.5171 (05.02.2020):

Системные требования

Подробную информацию о поддерживаемом оборудовании и доступных технологиях, смотрите в примечаниях в выпускам, ссылки на которые находятся в разделе "Что нового".

Версия 30.0

Поддерживаемые графические процессоры:

Windows 11, Windows 10 редакций 1709 и выше (64-bit)

Версия 15.45

Поддерживаемые графические процессоры:

6-е поколение процессоров Intel Core, Intel Core M и другие на базе Pentium с графикой Intel Iris Graphics 540, Intel Iris Graphics 550, Intel Iris Pro Graphics 580, и Intel HD Graphics 510, 515, 520, 530.

Windows 8.1 (32-bit и 64-bit)
Windows 7 (32-bit и 64-bit)

Версия 15.40

5-е поколение процессоров Intel Core и другие на базе Pentium/Celeron, на операционных системах Windows 10 (64-bit), Windows 8.1 / 7 (32-bit и 64-bit).
4-е поколение процессоров Intel Core и другие на базе Pentium/Celeron, на операционных системах Windows 10 (32-bit и 64-bit).
Процессоры семейства Braswell/CherryTrail, на операционных системах Windows 10 / 8.1 / 7 (32-bit и 64-bit).

Полезные ссылки

Подробное описание

Intel Graphics Drivers – это обязательный к установке пакет программного обеспечения, необходимый для полноценного функционирования графических процессоров Intel. Несмотря на то, что операционная система применяет универсальный драйвер для использования основных функции оборудования, установка полных и обновлённых версий драйверов и необходимого программного обеспечения Intel, позволяет добиться наивысшей производительности и стабильности, реализации всех доступных функций и технологий, а также свести к минимуму проблемы совместимости и различные ошибки в работе системы.

Состав установочного пакета драйверов Intel Graphics

Intel Graphic Driver - основной графический драйвер, необходимый для правильного отображения программ и элементов операционной системы, установки оптимальных разрешений экрана и корректной работы поддерживаемых игр.

Intel Media SDK Runtime - пакет разработки, который включает в себя инструменты и компоненты, помогающие программистам создавать приложения с поддержкой аппаратного ускорения кодирования, декодирования и обработки видео.

Intel OpenCL Driver - пакеты драйверов и библиотек, для разработки приложений с расширенной функциональностью IDE, средствами отладки и анализа, и другими инструментами.

Vulkan Runtime Installer - набор библиотек для повышенной производительности в играх и программах, использующих API Vulkan.

Intel Graphics Command Center (IGCC) - это простое и удобное в использования программное обеспечение с современным дизайном, для оптимизации производительности и управления различными настройками графики.

Центр управления графикой Intel

Начиная с версии драйверов DCH для Windows 10, Центр управления графикой Intel получил крупное обновление и различные улучшения. Он больше не будет включён в состав установочных файлов драйверов, но будет автоматически загружаться и устанавливаться при первом подключении к интернету. Также, программу можно установить самостоятельно из магазина Microsoft Store.

Новый центр управления графикой, основан на функционале предыдущих версий Панели управления графикой Intel, но имеет обновленный дизайн и более удобный доступ к различным функциям и настройкам. Приложение сканирует установленные игры и позволяет оптимизировать игровые настройки в один клик, для обеспечения максимальной производительности на данной аппаратной конфигурации. Также, вы можете создавать собственные игровые профили для настройки отдельных игровых параметров и быстрого переключения между ними.

Программное обеспечение, поставляемое в комплекте с системными платами, условно можно разделить на два класса: коммерческое, предназначенное для использования на любом компьютере, которое производитель по договоренности с его разработчиком кладет в коробку для того, чтобы увеличить привлекательность своего Retail-продукта, и программы (чаще всего относящиеся к классу утилит т.е. системного ПО), которые производитель плат разрабатывает сам. Последние, как правило, жестко ориентированы на работу с продуктами именно этого бренда (а иногда и с конкретными их моделями), и для пользователей, чей компьютер собран на базе платы другого производителя, никакой ценности не представляют.

Ранее последний класс программного обеспечения практически не попадал в сферу нашего внимания, мы просто ограничивались перечнем утилит, входящих в комплект поставки. Однако все иногда происходит в первый раз, и вот, мы решили попробовать более детально исследовать эти утилиты. Выбор производителя в данном случае обусловлен тем простым фактом, что именно компания Intel не так давно существенно обновила ассортимент поставляемого со своими платами ПО. Однако если данный материал будет пользоваться популярностью, вполне возможно, он станет родоначальником цикла статей, посвященных данной разновидности программного обеспечения. Полнофункциональное бесплатное пользовательское ПО

А теперь мы перейдем к более подробному описанию трех самых востребованных рядовыми пользователями программных пакетов: Desktop Control Center, Active Monitor/Desktop Utilites и Audio Studio. Intel Desktop Control Center

Кроме этого, основное окно содержит 10 кнопок, две из которых находятся по бокам, шесть сгруппированы в центре (на рисунке отмечены красным цветом, к их назначению мы вернемся немного позже), и еще две клавиши (сверху и справа) отвечают за открытие дополнительных панелей, которые «выезжают» вверх и вправо-вбок из основного окна.

Боковая панель предоставляет информацию о наличии и частоте вращения трех вентиляторов (как правило — процессорного и двух системных). Ее содержимое вполне прозрачно и не требует особенных пояснений.

А теперь вернемся к управляющим элементам основного окна программы. Как было сказано выше, они делятся на две кнопки для выдвижения дополнительных панелей (рассмотрено выше), блок из шести кнопок в центре окна, и еще две боковые. Шесть кнопок в центре служат для загрузки «в один клик» трех предустановленных профилей (жестко заданных в программе) и трех пользовательских (как их формировать, было объяснено ранее). Настройки, сохраненные в профилях, начинают действовать немедленно, сразу после активации. Таким образом, мы можем быстро переводить машину из «щадящего» режима с пониженным быстродействием, в «разогнанное» состояние, ориентированное на максимальную производительность.

Правая боковая клавиша запускает программу тестирования производительности, вычисляющую всевозможнейших «низкоуровневых попугаев», относящихся к быстродействию отдельных подсистем компьютера, и сводящую впоследствии все цифры в один «среднепопугайский» балл, отражающий то ли усредненную производительность данной системы, то ли среднюю температуру по больнице.

В принципе, мы не скрываем своего настороженного отношения к любой программе, определяющей, ничуть не сомневаясь, такую характеристику как «усредненная производительность компьютера». Однако, с другой точки зрения, употребление данного попугаеметра в рамках одной платформы (не будем забывать, что все вышесказанное — это рассказ о программном обеспечении, которым комплектуются платы Intel) может быть оправдано, т.к. дает пользователю пусть и весьма приблизительный, но в то же время простой и четкий ответ на вопрос «какова производительность моего компьютера на базе платы Intel по сравнению с производительностью другого компьютера на базе платы Intel». Если рассматривать данный инструмент именно в таком ракурсе, то ничего предосудительного в его использовании мы не видим. Разумеется, если речь идет об использовании не в профессиональных (тестерских), а в чисто любительских целях.

А в итоге основное окно программы радостно сообщит вам, что все системы в течение пяти минут функционировали нормально, и никаких сбоев в их работе обнаружено не было. Впрочем, кто знает — быть может, на чьей-то системе рапорт будет менее утешительным…

Краткие выводы

Данный пакет, как уже было сказано выше, предназначен для диагностики состояния основных и наиболее критичных узлов компьютера в режиме реального времени. Более старым вариантом IDU является Intel Active Monitor, но мы его здесь рассматривать не будем, т.к. по основным параметрам оба программных пакета совпадают, а в части различий IDU является, несомненно, более продвинутым.

После двойного клика на значке программы в system tray, мы попадаем в основное окно, которое сразу же сообщает нам значения всех отслеживаемых параметров системы:

Легко заметить, что в нашей тестовой системе сразу была обнаружена ошибка в функционировании жесткого диска. Впрочем, судя по всему, с самим винчестером все в порядке, просто используемый нами SATA-контроллер на чипе Silicon Image имеет какие-то проблемы с опросом модуля на жестком диске, отвечающим за функционирование подсистемы S.M.A.R.T.

Если же переключиться на одну из закладок, отвечающих за конкретные подсистемы компьютера, сухая текстовая информация сменяется красочной графической имитацией приборной шкалы:

Если одна из отслеживаемых характеристик вышла за пределы пороговых значений, Intel Desktop Utilites активирует окно с предупреждением, мигает значком в трее, и издает звук. Часть этих предупреждений (или даже все) можно отключить в диалоге настройки программы (он будет описан позже).

При аварийной ситуации иконка где-то раз в секунду
становится полностью красной (справа)

Боковая закладка «Системная информация» позволяет узнать, какие именно аппаратные средства установлены в компьютере, и (иногда) режимы, в которых они работают.

Правда, порой сообщаемая информация наводит на мысль, что, либо разработчики не слишком внятно сообщают нам, что же именно они имеют в виду, либо «не все в порядке именно с диагностикой. Так, в частности, в системе с платой на базе чипсета i925X, почему-то был обнаружен «выключенный» контроллер встроенной графики.

Может быть, имелось в виду, что на плате его нет, хотя мог бы быть (в случае если бы это была плата на базе i915G)? Тогда следовало так и написать: «Отсутствует». Обозначение «Выключено» все-таки традиционно принято понимать иначе: «в наличии, но не задействовано».

Заметим, что Stress Test от PassMark Software — это та же самая программа, что используется в Intel Desktop Control Center. Кроме того, нам не очень понравилась функциональность дефрагментатора Diskeeper Lite — его установка может иметь смысл разве что для пользователей Windows 2000, лишенной собственного дефрагментатора. Что касается обладателей компьютеров с ОС Windows XP — то ее встроенный дефрагментатор по возможностям полностью аналогичен Diskeeper Lite и отличается от него только интерфейсом.

Закладка «Параметры» позволяет настроить виды предупреждений, пороговые значения отслеживаемых параметров, и просмотреть историю предупреждений.

И вот тут хотелось бы отметить очень серьезный (с нашей точки зрения) недостаток Intel Desktop Utilites в качестве средства для мониторинга состояния компьютера. Дело в том, что окно с предупреждением, мигание значка в трее, и даже звук — это все средства оповещения, имеющие смысл в том случае, если пользователь в данный момент находится за компьютером, или, по крайней мере, возле него. Если же системе было дано какое-то задание «на ночь», а владелец пошел спать — вряд ли призывы IDU о помощи дойдут до него раньше утра.

Для таких случаев во многих утилитах мониторинга предусмотрена крайняя мера: если аварийная ситуация имеет место несколько раз подряд (количество, как правило, настраиваемое), или продолжается в течение некоторого времени (что опять-таки настраивается) — то программа системного мониторинга дает команду на закрытие окон всех работающих приложений, и после этого выключает компьютер. Разумеется, вряд ли эту опцию стоит включать «по умолчанию», но само ее наличие нам кажется, безусловно, полезным. В Intel Desktop Utilites данная возможность отсутствует.

Краткие выводы

Элементы управления основного окна программы кроме относящихся к основной ее функции (регулировка параметров звуковых фильтров) дают доступ к двум дополнительным панелям (выделены красными эллипсами сверху и справа) а также позволяют отключить все фильтры одним щелчком мыши или вообще полностью убрать звук (большая и маленькая кнопки слева, соответственно).

Верхняя панель содержит несколько закладок. Первая из них (Audio Ports) позволяет настроить режимы воспроизведения (указать тип подключенных устройств и, в зависимости от типа, режим работы аудиочипа) и посмотреть, какие из устройств подключены к каким разъемам. Заслуживает внимания тот факт, что IAS способна сама «расширять» (программным способом, разумеется) обычный стереозвук вплоть до формата 7.1, т.е. если выбрать пункт «7.1 (5.1) Speakers», то даже при воспроизведении стереодорожки звучать будут все аудиосистемы, а не только левая и правая. Впрочем, среди «истинных гурманов» подобные экзерсисы популярностью, как правило, не пользуются…

Приемы, с помощью которых ПО может через веб-интерфейс сообщить «родному» сайту о своей версии, чтобы тот сам проверил его актуальность — давно известны, и используются повсеместно. Более того, хорошим тоном считается вообще не использовать для этого запуск браузера: информация о наличии интернет-соединения может быть получена системными средствами, а дальше дело самой программы — связаться с сайтом, проверить наличие обновлений, и предложить пользователю загрузить и установить их. Судя по тому, что вышеописанную схему обновления поддерживает даже Adobe Acrobat Reader, мы предположим, что реализовать ее было вполне по плечу программистам Intel.

Боковая выдвигающаяся панель позволяет регулировать баланс, но не только привычным для стереозвука способом «правее или левее», добавляется еще одна степень свободы: «ближе/дальше». В целом, все очевидно, скриншот не требует дополнительных комментариев.

Вот так выглядит процесс воспроизведения звука, на ходу иллюстрируемый в основном окне Audio Studio. Честно говоря, автор не является специалистом в области звука, поэтому профессионально оценить возможности, предоставляемые Audio Studio по части постпроцессинга звука не в состоянии. Впрочем, в нашем аудиоразделе данная программа уже рассмотрена более подробно.

В общих чертах можно лишь констатировать, что при «передвижении рычажков» звук изменяется, иногда эти изменения на слух воспринимаются как благотворные, иногда — наоборот ;). Вряд ли имеет смысл пытаться описывать их в статье, проще скачать Audio Studio, установить, и попробовать самостоятельно. Можно дать лишь один совет: очень удобна большая кнопка в левом углу основного окна, позволяющая отключить сразу все фильтры, вернувшись к «не облагороженному» звуку. Часто сразу же становится понятно, стоит использовать пост-процессинг, или композиция лучше звучит в первозданном виде.

Краткие выводы

Поэтому ограничимся констатацией одного очевидного для нас плюса, и одного очевидного для нас же минуса. Очевидный плюс — то, что изменения, внесенные в звучание с помощью Intel Audio Studio, влияют на воспроизводимый звук глобально, т.е. в независимости от того, с помощью какой программы он воспроизводится на компьютере. Это, несомненно, плюс, т.к. в случае отсутствия IAS вам придется возиться с аналогичными, по сути, модулями, входящими в состав разных программ (это, кстати, в том лучшем случае, когда они вообще имеются…). Но именно ввиду вышеозначенной «глобальности» воздействия на звук, несколько непривычно смотрится отсутствие в списке инструментария IAS… обычного эквалайзера. В нашем случае этот недостаток можно было компенсировать, задействовав эквалайзер из панели управления HDA-кодека Realtek, но это уже другая программа, и впечатление «цельности решения» было немного подпорчено. Кроме того, имеет смысл отметить, что Intel Audio Studio — единственная из рассмотренных нами программ, не имеющая локализованного (русскоязычного) интерфейса. Общие выводы

Бесплатное ПО, поставляемое с новыми платами Intel, безусловно, заслуживает внимания. Как минимум, данный набор программного обеспечения вполне сопоставим по возможностям с аналогичными наборами от других производителей, как максимум — иногда предоставляет пользователю возможности, в других наборах отсутствующие (Intel Audio Studio). Разумеется, есть у рассмотренных нами программ и недостатки, но недостатки есть у любого ПО, и можно надеяться, что часть из них будет устранена в следующих версиях. По крайней мере, движение вперед хорошо заметно: ранее набор ориентированного на конечного пользователя ПО, поставляемого с платами Intel, был намного скромнее, и новички в наборе дня сегодняшнего смотрятся отнюдь не как «первый блин». Учитывая бесплатность, а также то, что установка вышеописанных программ отнюдь не является обязательной, в любом случае пользователь или в выигрыше, или, как минимум, ничего не потерял.

Напомним, что основным компонентом Intel ME является встроенный в чипсет микроконтроллер с кастомной архитектурой. Известна лишь базовая модель, это 32-х разрядный ARCtangent-A4 (ME 1.x — 5.x), ARCtangent-A5 (ME 6.x — 10.x), SPARC (TXE) или x86 (ME 11.x — . ).

Начиная с 6-й версии, ME-контроллер встраивают во все чипсеты Intel.

[рисунок взят отсюда]

Загрузчик его прошивки хранится во внутренней ROM и недоступен для анализа. Сама прошивка располагается в регионе ME во внешней SPI флэш-памяти (т.е. в той же памяти, где хранится BIOS). Структура этой прошивки такова, что весь исполнимый код разбит на модули, которые хранятся в сжатом виде (либо кастомной реализацией алгоритма Хаффмана, либо LZMA). Эти кодовые модули криптографически защищены от модификаций.

Если есть желание поревёрсить прошивку, рекомендуем воспользоваться этими двумя инструментами для изучения её структуры и распаковки кодовых модулей.

Итак, рассматриваемая подсистема является аппаратно-программной основой для различных системных функций (некоторые раньше реализовывали в BIOS) и технологий Intel. Их имплементация включается в состав прошивки Intel ME. Одной из таких технологий, использующих несколько особых привилегий Intel ME, является Active Management Technology (AMT).

AMT – технология удалённого администрирования компьютерных систем, для которых заявлена официальная поддержка Intel vPro (это бренд, объединяющий несколько технологий, в том числе, AMT). Речь идёт о системах с чипсетами линейки Q (например, Q57 или Q170).

Учитывая высокую стоимость таких платформ, вряд ли кто-то случайно приобретёт компьютер с AMT для того, чтобы принципиально этой технологией не пользоваться. Тем не менее, если под рукой именно такой продукт, и есть необходимость убедиться, что AMT на текущий момент выключена, следует воспользоваться утилитой ACUwizard:

[рисунок взят отсюда]

или средством Intel Management and Security Status (входит в состав ПО Intel ME для vPro-платформ, можно обнаружить в трее):

В продуктах, не относящихся к разряду vPro-платформ AMT включить нельзя, однако в состав прошивки Intel ME входят сетевые драйверы:

Это означает, что ME-контроллер (не будем забывать, что он всегда включен) имеет техническую возможность использования сетевого интерфейса.

Поэтому проблему стоит решать основательно – пытаться выключить подсистему Intel ME.

Прошивку Intel ME в бинарном виде;
Модули MEBx для BIOS;
ПО Intel ME для ОС;
Intel System Tool Kit (STK) — комплект программных средств и документации для сборки образов SPI флэш-памяти, применения этих образов и получении информации о текущем состоянии Intel ME.

Несмотря на то, что этот комплект распространяется по NDA (судя по меткам «Intel Confidential» в прилагаемых документах), многие вендоры забывают его вырезать из архива с ПО Intel ME, который передаётся пользователям. А ещё не закрывают свои ftp-серверы от внешнего доступа. В результате, утекших версий STK очень много. Здесь можно слить комплект для любой версии Intel ME.

Важно, чтобы major и minor version (первая и вторая цифры) используемого STK совпадала с версией Intel ME целевой системы, информацию о которой можно получить, например, воспользовавшись ME analyzer:

Проверять текущее состояние Intel ME можно при помощи утилиты MEinfo, которая через Management Engine Interface (MEI) получает информацию о работе этой подсистемы:

Напомним, что MEI является интерфейсом для связи основного CPU с подсистемой Intel ME и представляет собой набор регистров в конфигурационном пространстве PCI и в MMIO. Команды этого интерфейса не документированы, как и сам протокол.

Flash Image Tool

На старых платформах (Intel ME версии 5.x и ниже) выключить данную подсистему можно, воспользовавшись Flash Image Tool (утилита из STK, предназначенная для сборки образов SPI флэш-памяти из отдельно взятых регионов BIOS, ME, GbE). При сборке задаются параметры, которые прописываются в этих регионах и в регионе Flash Descriptors. В последнем есть один очень интересный флаг, «ME disable»:

Таким образом, для выключения Intel ME на целевой компьютерной системе, в её SPI флэш-память следует записать (программатором) новый образ с выставленным флагом «ME disable».

Работает ли этот способ, нам неизвестно. Но звучит правдоподобно, учитывая, что ME-контроллер в тех версиях интегрировался только в чипсеты линейки Q, т.е. был не обязательным компонентом для всех платформ.

Flash Programming Tool

Начиная с Intel ME 9 версии, в утилиту Flash Programming Tool, предназначенную для программирования SPI флэш-памяти компьютерных платформ, была добавлена возможность временно выключать Intel ME:

Выключение выполняется отправкой команды в MEI. После отработки Intel ME не подаёт «признаков жизни», не отвечает даже MEI:

Согласно документации, в таком состоянии подсистема Intel ME находится до следующего запуска компьютера или перезагрузки.

На vPro-платформах возможность отправки этой команды есть и в более ранних версиях. Для этого необходимо воспользоваться разделом конфигурирования ME/AMT в BIOS, где должна быть опция «Intel ME disable»:

[рисунок взят отсюда]

Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки.
Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена.

В интересах исключения возможности исполнения ME-контроллером кода прошивки, логично попробовать ограничить ему доступ к ней. А что? Нет кода – нет проблемы.

Проанализировав документацию, которая прилагается к STK, и, немного подумав, мы предположили, что это можно сделать следующими способами.

1. Вырезать (обнулить) ME регион из SPI флэш-памяти.

Те, кто пробовал так делать сообщают о том, что их платформа либо не загружалась без наличия подлинной прошивки ME, либо выключалась ровно после 30 минут работы.

Отказ компьютерной системы грузиться без прошивки Intel ME можно объяснить важностью ME-контроллера в процессе инициализации аппаратной составляющей. А 30-минутный таймаут наводит на мысль о WDT (Watch Dog Timer).

стереть первые 0x20 байт в ней (таким образом повредив сигнатуру 0x0FF0A55A, которая определяет режим работы флэш-памяти);
выставить джампер HDA_SDO (если он есть).

Таким образом, ME-контроллер не получит доступ к своему региону, и, следовательно, не будет исполнять прошивку.

С одной стороны, ME-контроллер так же, как и в предыдущем случае, может препятствовать нормальной работе компьютерной системы. С другой стороны, не дескрипторный режим включает т.н. manufacturing mode, который используется вендорами в отладочных целях, и есть шанс, что система запустится.

3. Известно, что прошивка Intel ME распаковывается в выделенную и скрытую от основного CPU область оперативной памяти – ME UMA. Выделение и блокировку этой области осуществляет BIOS во время конфигурирования карты памяти. Тогда почему бы не вырезать эти фрагменты кода из BIOS, чтобы данная область не выделялась. Тогда прошивка ME не будет распаковываться и исполняться.

Проведённые эксперименты показали, что такой способ тоже не годится, и система не запускается. К тому же, у ME-контроллера есть внутренняя SRAM, которая используется при недоступности ME UMA. Поэтому часть прошивки всё равно будет исполняться.

отключение при каждом старте командой в MEI или отключение флагом в регионе flash descriptors (в зависимости от версии);
ограничение доступа ME-контроллеру к своей прошивке либо перевод компьютерный платформы в manufacturing mode.
препятствование нормальной работе ME-контроллера не обеспечивая его runtime-памятью.

Очевидно, что некоторые предложенные решения влекут за собой неработоспособность компьютерной системы, остальные не дают никакой гарантии того, что подсистема Intel ME действительно выключена. В связи с этим, мы пришли к выводу, что полностью выключить Intel ME крайне сложно.

Вероятно, это связано с тем, что, отключая Intel ME, мы нейтрализуем важный компонент в архитектуре компьютерной системы. Например, без ME некому будет решать важные системные задачи вроде ACPI или ICC (которые когда-то реализовывались в BIOS). Чтобы заставить платформу стабильно работать без ME, как минимум, необходимо вернуть реализацию этих технологий в BIOS.

Так или иначе, вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым.

Microsoft предложила пользователям Windows 10 2004 странный набор обновлений драйверов Intel. Речь идёт об опциональных апдейтах, которые можно устанавливать по желанию.

Приведённая с обновлениями информация оказалась настолько странной, что отдельные пользователи даже не смогли понять, что из этого нужно инсталлировать.

Например, для одного устройства «Intel - System» нашлось целых четыре разных обновлений.

Что ещё больше запутало пользователей — три драйвера якобы были созданы в 1968 году (за 17 лет до выхода первой Windows 1.0). Microsoft как-то объясняла, что старые даты указаны специально, поскольку это позволяет Windows выбрать самый новый драйвер, если на устройстве присутствуют сразу несколько.

По словам Intel, дату 18.07.1968 выбрали специально для старых драйверов, её назначение — дать пользователям Windows 10 понять, что эти апдейты предназначены не для них. На самом деле, 18 июля 1968 — дата основания Intel.

Несмотря на все объяснения, ситуация всё равно выглядит странной.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы нового шифровальщика, именующие себя «команда Memento», придумали, как блокировать файлы в тех случаях, когда жертва использует спецзашиту от таких вредоносов. Разбор октябрьских атак в Sophos показал, что во избежание таких помех взломщики теперь архивируют целевые данные с помощью WinRAR и устанавливают пароль на доступ.

В сети мишеней Memento проникает, используя эксплойт CVE-2021-21972 для VMware vCenter. Патч для этой RCE-уязвимости вышел еще в феврале, однако далеко не все пользователи удосужились его установить.

Закрепившись на взломанном сервере, злоумышленники создают SSH-туннель, извлекают учетные данные админа и начинают продвигаться по сети, используя RDP. Закончив рекогносцировку, хакеры тщательно стирают следы своей деятельности с помощью утилиты BCWipe и запускают шифровальщика.

Этот написанный на Python 3.9 зловред вначале архивировал файлы с помощью WinRAR, а затем шифровал их по AES. Однако последнее действие зачастую вызывало срабатывание антивирусной защиты, заточенной под такое поведение, и Memento пришлось скорректировать свой код.

Теперь вредонос не использует шифратор, он только пускает в ход WinRAR, присваивая итогам расширение .vaultz. Для каждого архива генерируется пароль, который затем шифруется с использованием RSA.

Оригиналы архивированных файлов удаляются, а на рабочий стол админа помещается записка с требованием выкупа — суммарно 15,95 BTC (около $1 млн) или 0,099 BTC за каждый документ. Формат и текст этого послания, по словам Sophos, позаимствованы у REvil, для связи закеры предлагают контакты в Telegram и Protonmail.

Жертвы атак, попавших в поле зрения экспертов, выкуп не платили — восстановили свои файлы из резервных копий, заранее побеспокоившись о создании бэкапа.

Читайте также: