Rombertik, il malware che ti cancella l'hard disk

Per non farsi identificare.



[ZEUS News - www.zeusnews.it - 14-05-2015]

rombertik malware cancella hard disk

Il Cisco Talos Team ha individuato un nuovo tipo di malware particolarmente difficile da individuare e che non si lascia catturare vivo: se identificato, porta con sé nella tomba tutti i dati dell'hard disk.

È stato chiamato Rombertik e si diffonde in maniera classica, attraverso un'email di phishing: se la vittima ci casca e apre l'allegato (che si fa passare per un .Pdf o un .Scr zippato), il computer viene immediatamente compromesso.

I ricercatori di Cisco rivelano che Rombertik mette in atto una strategia piuttosto complessa per non essere rilevato, compiendo analisi per capire se si trovi in una sandbox prima ancora di completare l'installazione e poi restando vigile per evitare i software che cacciano malware.

Il compito principale di Rombertik è collezionare i dati privati degli utenti dopo essersi nascoste ben bene utilizzando diverse tecniche di offuscamento.

Se però si accorge che qualcuno lo sta analizzando, inizia l'opera di autodistruzione.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (3498 voti)
Leggi i commenti (13)

In questo caso, come prima cosa cerca di sovrascrivere il Master Boot Record del primo disco fisico, così da rendere inutilizzabile il computer; se non ne ha i permessi, crittografa tutti i documenti presenti nella cartella dell'utente, rendendoli inaccessibili con una chiave generata casualmente. Una volta compiuta una delle due operazioni, Rombertik riavvia il Pc.

La riscrittura del MBR porta il computer riavviato a mostrare soltanto la scritta Carbon crack attempt, failed per poi riavviarsi in un ciclo infinito; inoltre imposta a 0 i byte del MBR che ospitavano le informazioni sulle partizioni, rendendo così più diffiicile recuperare i dati.

email screenshot watermarked
Un esempio dell'email di phishing usata da Rombertik
compromise flow wm
Il procedere dell'infezione come spiegato dal Talos team
carbon copy wm
Il Pc non può più avviarsi
mbr overwrite wm
Gli effetti della sovrascrittura del MBR

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
8 errori da evitare per non essere hackerati
Ospedali rilevano malware analizzando i flussi di elettricità
Malware ricatta i videogiocatori
La chiavetta Usb che ti frigge il Pc

Commenti all'articolo (ultimi 5 di 8)

{Lia Pallone}
una domanda a voi che siete degli esperti (confesso che l'articolo mi ha letteralmente terrorizzato): devo andare a comprare un hard disk esterno (che se ho capito deve essere vuoto, perché viene formattato nel memneto che faccio una copia del mio) e poi creare una immagine dell'hard disk del mio computer lì... Leggi tutto
18-5-2015 23:56

L'immagine dell'HD aggiornata è sicuramente la soluzione migliore... Leggi tutto
17-5-2015 11:20

E se non ce l'hai ti auguro che tu lo prenda presto... :wink: Leggi tutto
17-5-2015 11:19

Ciao R16, Non credo che la console serva a qualcosa, visto che questo virus pialla l'hd senza distinzione di SO o file system. Un immagine dell 'hd aggiornata piuttosto è la soluzione più semplice e indolore.
17-5-2015 00:13

Con la console di XP ripristini l'MBR e poi il Grub di Ubuntu. Oppure se stata previdente e ti sei fatta un'immagine pulita del HD, la ripristini, e così fotti il virus senza tante storie. Leggi tutto
15-5-2015 18:57

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è la cosa peggiore per un programmatore?
La modifica delle specifiche
I clienti
Debuggare
Scrivere documentazione
Il codice scritto da altri
La fase di test

Mostra i risultati (3669 voti)
Gennaio 2020
Agcom, due milioni di multa per Tim, Vodafone e Wind Tre
Windows 10: e adesso la pubblicità
Batterie al grafene, ormai ci siamo
Edge è morto, viva Edge (Chromium)
Il giorno della morte di Windows 7
The New Facebook, il social network cambia pelle
Samsung fa un balzo in avanti con il Galaxy S20
Dicembre 2019
Le peggiori password del 2019
Il chip che realizza la crittografia perfetta a prova di hacker
Apple al lavoro sull'iPhone satellitare
Il water inclinato che impedisce ai dipendenti di stare troppo in bagno
Se i poliziotti vendono nel dark web l'accesso alle telecamere di sicurezza
Il preservativo per i dispositivi USB
Il motorino elettrico di Xiaomi che costa come uno smartphone
Il ransomware che riavvia il PC in modalità provvisoria
Tutti gli Arretrati


web metrics