Rombertik, il malware che ti cancella l'hard disk

Per non farsi identificare.



[ZEUS News - www.zeusnews.it - 14-05-2015]

rombertik malware cancella hard disk

Il Cisco Talos Team ha individuato un nuovo tipo di malware particolarmente difficile da individuare e che non si lascia catturare vivo: se identificato, porta con sé nella tomba tutti i dati dell'hard disk.

È stato chiamato Rombertik e si diffonde in maniera classica, attraverso un'email di phishing: se la vittima ci casca e apre l'allegato (che si fa passare per un .Pdf o un .Scr zippato), il computer viene immediatamente compromesso.

I ricercatori di Cisco rivelano che Rombertik mette in atto una strategia piuttosto complessa per non essere rilevato, compiendo analisi per capire se si trovi in una sandbox prima ancora di completare l'installazione e poi restando vigile per evitare i software che cacciano malware.

Il compito principale di Rombertik è collezionare i dati privati degli utenti dopo essersi nascoste ben bene utilizzando diverse tecniche di offuscamento.

Se però si accorge che qualcuno lo sta analizzando, inizia l'opera di autodistruzione.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (3542 voti)
Leggi i commenti (13)

In questo caso, come prima cosa cerca di sovrascrivere il Master Boot Record del primo disco fisico, così da rendere inutilizzabile il computer; se non ne ha i permessi, crittografa tutti i documenti presenti nella cartella dell'utente, rendendoli inaccessibili con una chiave generata casualmente. Una volta compiuta una delle due operazioni, Rombertik riavvia il Pc.

La riscrittura del MBR porta il computer riavviato a mostrare soltanto la scritta Carbon crack attempt, failed per poi riavviarsi in un ciclo infinito; inoltre imposta a 0 i byte del MBR che ospitavano le informazioni sulle partizioni, rendendo così più diffiicile recuperare i dati.

email screenshot watermarked
Un esempio dell'email di phishing usata da Rombertik
compromise flow wm
Il procedere dell'infezione come spiegato dal Talos team
carbon copy wm
Il Pc non può più avviarsi
mbr overwrite wm
Gli effetti della sovrascrittura del MBR

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
8 errori da evitare per non essere hackerati
Ospedali rilevano malware analizzando i flussi di elettricità
Malware ricatta i videogiocatori
La chiavetta Usb che ti frigge il Pc

Commenti all'articolo (ultimi 5 di 8)

{Lia Pallone}
una domanda a voi che siete degli esperti (confesso che l'articolo mi ha letteralmente terrorizzato): devo andare a comprare un hard disk esterno (che se ho capito deve essere vuoto, perché viene formattato nel memneto che faccio una copia del mio) e poi creare una immagine dell'hard disk del mio computer lì... Leggi tutto
18-5-2015 23:56

L'immagine dell'HD aggiornata è sicuramente la soluzione migliore... Leggi tutto
17-5-2015 11:20

E se non ce l'hai ti auguro che tu lo prenda presto... :wink: Leggi tutto
17-5-2015 11:19

Ciao R16, Non credo che la console serva a qualcosa, visto che questo virus pialla l'hd senza distinzione di SO o file system. Un immagine dell 'hd aggiornata piuttosto è la soluzione più semplice e indolore.
17-5-2015 00:13

Con la console di XP ripristini l'MBR e poi il Grub di Ubuntu. Oppure se stata previdente e ti sei fatta un'immagine pulita del HD, la ripristini, e così fotti il virus senza tante storie. Leggi tutto
15-5-2015 18:57

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Che lavoro fai?
Agente di commercio
Operaio
Personale medico
Dirigente - Funzionario
Libero professionista
Forze Armate / Guardia / Vigile
Insegnante
Pensionato
Studente
In cerca di occupazione
Casalinga
Commerciante
Imprenditore
Artigiano
Ecclesiastico
Impiegato

Mostra i risultati (4342 voti)
Agosto 2020
Falla nei chip Qualcomm, a rischio centinaia di milioni di smartphone
Che cosa succede dentro a uno pneumatico quando si viaggia?
Chrome permetterà di modificare le password salvate
Red Hat: Non installate quella patch
Il dispositivo che assorda gli Amazon Echo
Luglio 2020
La vecchia raccolta di Cd e Dvd potrebbe essere in pericolo
5G: come eliminare il 90% delle emissioni
Bloatbox ripulisce Windows 10 dalle app indesiderate
Non coprite quella webcam
Falla nei caricabatterie: telefoni e tablet a rischio incendio
Windows 10, come aggirare il bug che segnala la mancanza di connessione
Windows 10 e l'aggiornamento che risolve tutti i bug
Razzismo: via i termini blacklist, master e slave dal kernel Linux
WindowsFX, la distribuzione Linux per chi vuole lasciare Windows 10
Come disinstallare il nuovo Edge da Windows 10
Tutti gli Arretrati


web metrics