Rombertik, il malware che ti cancella l'hard disk

Per non farsi identificare.

[ZEUS News - www.zeusnews.it - 14-05-2015]

Il Cisco Talos Team ha individuato un nuovo tipo di malware particolarmente difficile da individuare e che non si lascia catturare vivo: se identificato, porta con sé nella tomba tutti i dati dell'hard disk.

È stato chiamato Rombertik e si diffonde in maniera classica, attraverso un'email di phishing: se la vittima ci casca e apre l'allegato (che si fa passare per un .Pdf o un .Scr zippato), il computer viene immediatamente compromesso.

I ricercatori di Cisco rivelano che Rombertik mette in atto una strategia piuttosto complessa per non essere rilevato, compiendo analisi per capire se si trovi in una sandbox prima ancora di completare l'installazione e poi restando vigile per evitare i software che cacciano malware.

Per approfondire:

L'SSD con il pulsante di autodistruzione

Errore 0x80070643 in Windows Update: la soluzione è un po' nerd

8 errori da evitare per non essere hackerati

Ospedali rilevano malware analizzando i flussi di elettricità

Il compito principale di Rombertik è collezionare i dati privati degli utenti dopo essersi nascoste ben bene utilizzando diverse tecniche di offuscamento.

Se però si accorge che qualcuno lo sta analizzando, inizia l'opera di autodistruzione.

Sondaggio

Quanto spam ricevi in media ogni giorno?

Leggi i commenti (15)

In questo caso, come prima cosa cerca di sovrascrivere il Master Boot Record del primo disco fisico, così da rendere inutilizzabile il computer; se non ne ha i permessi, crittografa tutti i documenti presenti nella cartella dell'utente, rendendoli inaccessibili con una chiave generata casualmente. Una volta compiuta una delle due operazioni, Rombertik riavvia il Pc.

La riscrittura del MBR porta il computer riavviato a mostrare soltanto la scritta Carbon crack attempt, failed per poi riavviarsi in un ciclo infinito; inoltre imposta a 0 i byte del MBR che ospitavano le informazioni sulle partizioni, rendendo così più diffiicile recuperare i dati.

Un esempio dell'email di phishing usata da Rombertik

Il procedere dell'infezione come spiegato dal Talos team

Il Pc non può più avviarsi

Gli effetti della sovrascrittura del MBR

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 8)

{Lia Pallone}

una domanda a voi che siete degli esperti (confesso che l'articolo mi ha letteralmente terrorizzato): devo andare a comprare un hard disk esterno (che se ho capito deve essere vuoto, perché viene formattato nel memneto che faccio una copia del mio) e poi creare una immagine dell'hard disk del mio computer lì... Leggi tutto
18-5-2015 23:56

Gladiator

L'immagine dell'HD aggiornata è sicuramente la soluzione migliore... Leggi tutto
17-5-2015 11:20

Gladiator

E se non ce l'hai ti auguro che tu lo prenda presto... :wink: Leggi tutto
17-5-2015 11:19

Maary79

Ciao R16, Non credo che la console serva a qualcosa, visto che questo virus pialla l'hd senza distinzione di SO o file system. Un immagine dell 'hd aggiornata piuttosto è la soluzione più semplice e indolore.
17-5-2015 00:13

R16

Con la console di XP ripristini l'MBR e poi il Grub di Ubuntu. Oppure se stata previdente e ti sei fatta un'immagine pulita del HD, la ripristini, e così fotti il virus senza tante storie. Leggi tutto
15-5-2015 18:57

Leggi gli altri 3 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(4 commenti) ChatGPT introduce le chat di gruppo, fino a 20 persone. Il chatbot fa da consulente	News(1 commento) Microsoft rende open source la trilogia di Zork: il codice delle avventure testuali ora è pubblico

News(11 commenti)

Le Ferrovie adottano la IA di Microsoft. 50.000 licenze Copilot per aumentare la produttività

News(7 commenti)

Meno popup fastidiosi: UE verso la semplificazione dei cookie

Maipiusenza(9 commenti)

Google presenta il telecomando che non si scarica mai. La luce artificiale lo mantiene sempre carico

News(6 commenti)

Cloudflare spiega che cosa è successo. Tutta colpa di una configurazione

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: