Rombertik, il malware che ti cancella l'hard disk

Per non farsi identificare.



[ZEUS News - www.zeusnews.it - 14-05-2015]

rombertik malware cancella hard disk

Il Cisco Talos Team ha individuato un nuovo tipo di malware particolarmente difficile da individuare e che non si lascia catturare vivo: se identificato, porta con sé nella tomba tutti i dati dell'hard disk.

È stato chiamato Rombertik e si diffonde in maniera classica, attraverso un'email di phishing: se la vittima ci casca e apre l'allegato (che si fa passare per un .Pdf o un .Scr zippato), il computer viene immediatamente compromesso.

I ricercatori di Cisco rivelano che Rombertik mette in atto una strategia piuttosto complessa per non essere rilevato, compiendo analisi per capire se si trovi in una sandbox prima ancora di completare l'installazione e poi restando vigile per evitare i software che cacciano malware.

Il compito principale di Rombertik è collezionare i dati privati degli utenti dopo essersi nascoste ben bene utilizzando diverse tecniche di offuscamento.

Se però si accorge che qualcuno lo sta analizzando, inizia l'opera di autodistruzione.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (3443 voti)
Leggi i commenti (13)

In questo caso, come prima cosa cerca di sovrascrivere il Master Boot Record del primo disco fisico, così da rendere inutilizzabile il computer; se non ne ha i permessi, crittografa tutti i documenti presenti nella cartella dell'utente, rendendoli inaccessibili con una chiave generata casualmente. Una volta compiuta una delle due operazioni, Rombertik riavvia il Pc.

La riscrittura del MBR porta il computer riavviato a mostrare soltanto la scritta Carbon crack attempt, failed per poi riavviarsi in un ciclo infinito; inoltre imposta a 0 i byte del MBR che ospitavano le informazioni sulle partizioni, rendendo così più diffiicile recuperare i dati.

email screenshot watermarked
Un esempio dell'email di phishing usata da Rombertik
compromise flow wm
Il procedere dell'infezione come spiegato dal Talos team
carbon copy wm
Il Pc non può più avviarsi
mbr overwrite wm
Gli effetti della sovrascrittura del MBR

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
8 errori da evitare per non essere hackerati
Ospedali rilevano malware analizzando i flussi di elettricità
Malware ricatta i videogiocatori
La chiavetta Usb che ti frigge il Pc

Commenti all'articolo (ultimi 5 di 8)

{Lia Pallone}
una domanda a voi che siete degli esperti (confesso che l'articolo mi ha letteralmente terrorizzato): devo andare a comprare un hard disk esterno (che se ho capito deve essere vuoto, perché viene formattato nel memneto che faccio una copia del mio) e poi creare una immagine dell'hard disk del mio computer lì... Leggi tutto
18-5-2015 23:56

L'immagine dell'HD aggiornata è sicuramente la soluzione migliore... Leggi tutto
17-5-2015 11:20

E se non ce l'hai ti auguro che tu lo prenda presto... :wink: Leggi tutto
17-5-2015 11:19

Ciao R16, Non credo che la console serva a qualcosa, visto che questo virus pialla l'hd senza distinzione di SO o file system. Un immagine dell 'hd aggiornata piuttosto è la soluzione più semplice e indolore.
17-5-2015 00:13

Con la console di XP ripristini l'MBR e poi il Grub di Ubuntu. Oppure se stata previdente e ti sei fatta un'immagine pulita del HD, la ripristini, e così fotti il virus senza tante storie. Leggi tutto
15-5-2015 18:57

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
La NSA non spiava solo i cittadini USA ma anche i governi di Francia, Germania e Italia. Qual è la tua reazione di fronte a questa notizia? (se vuoi dare risposte multiple o commentare ulteriormente, usa il forum)
Sono profondamente indignato: come si sono permessi?
Sono stupito che gli USA siano arrivati a questo punto.
In fondo lo fanno per prevenire gli attentati; quindi li giustifico, almeno parzialmente.
Non mi sorprende. E' da un po' che l'Europa non conta più un tubo.
Accidenti! Avranno ascoltato anche le telefonate con la mia fidanzata/o.
I nostri politici non hanno nulla di più importante di cui preoccuparsi?
Lo so perfino io che i telefoni sono spiati, figuriamoci i terroristi.
Avevano ragione quelli di Zeus News, quando già nel 2001 scrivevano di Echelon.

Mostra i risultati (2809 voti)
Luglio 2019
Microsoft: Windows 10 è il migliore Windows di sempre
Auto elettriche, arriva l'obbligo che facciano rumore
Modalità incognito per i siti a luci rosse? Google e Facebook ti tracciano lo stesso
WhatsApp, la truffa passa attraverso i file multimediali
Galileo fuori uso da quattro giorni, forse è colpa di un guasto in Italia
Lo pneumatico senz'aria di Michelin e GM
Track This inganna gli algoritmi pubblicitari (aprendo 100 schede!)
L'app che spoglia nude le donne in pochi secondi
Giugno 2019
Quattordicenne crea malware che rende inutilizzabili i dispositivi IoT
Fusione TIM e Open Fiber, un'operazione senza alternative
Apple richiama i MacBook Pro: rischiano di prendere fuoco
Falla zero-day in Firefox, gli hacker la stanno già sfruttando
Libra, la criptovaluta di Facebook, ufficialmente al via con il wallet Calibra
Se anche Sky usa i sottotitoli pirata
Il CERN lascia Microsoft e passa all'open source
Tutti gli Arretrati


web metrics