Rombertik, il malware che ti cancella l'hard disk

Per non farsi identificare.



[ZEUS News - www.zeusnews.it - 14-05-2015]

rombertik malware cancella hard disk

Il Cisco Talos Team ha individuato un nuovo tipo di malware particolarmente difficile da individuare e che non si lascia catturare vivo: se identificato, porta con sé nella tomba tutti i dati dell'hard disk.

È stato chiamato Rombertik e si diffonde in maniera classica, attraverso un'email di phishing: se la vittima ci casca e apre l'allegato (che si fa passare per un .Pdf o un .Scr zippato), il computer viene immediatamente compromesso.

I ricercatori di Cisco rivelano che Rombertik mette in atto una strategia piuttosto complessa per non essere rilevato, compiendo analisi per capire se si trovi in una sandbox prima ancora di completare l'installazione e poi restando vigile per evitare i software che cacciano malware.

Consigliamo la lettura di:
L'SSD con il pulsante di autodistruzione
Errore 0x80070643 in Windows Update: la soluzione è un po' nerd
8 errori da evitare per non essere hackerati
Ospedali rilevano malware analizzando i flussi di elettricità

Il compito principale di Rombertik è collezionare i dati privati degli utenti dopo essersi nascoste ben bene utilizzando diverse tecniche di offuscamento.

Se però si accorge che qualcuno lo sta analizzando, inizia l'opera di autodistruzione.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (3881 voti)
Leggi i commenti (15)

In questo caso, come prima cosa cerca di sovrascrivere il Master Boot Record del primo disco fisico, così da rendere inutilizzabile il computer; se non ne ha i permessi, crittografa tutti i documenti presenti nella cartella dell'utente, rendendoli inaccessibili con una chiave generata casualmente. Una volta compiuta una delle due operazioni, Rombertik riavvia il Pc.

La riscrittura del MBR porta il computer riavviato a mostrare soltanto la scritta Carbon crack attempt, failed per poi riavviarsi in un ciclo infinito; inoltre imposta a 0 i byte del MBR che ospitavano le informazioni sulle partizioni, rendendo così più diffiicile recuperare i dati.

email screenshot watermarked
Un esempio dell'email di phishing usata da Rombertik
compromise flow wm
Il procedere dell'infezione come spiegato dal Talos team
carbon copy wm
Il Pc non può più avviarsi
mbr overwrite wm
Gli effetti della sovrascrittura del MBR

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 8)

{Lia Pallone}
una domanda a voi che siete degli esperti (confesso che l'articolo mi ha letteralmente terrorizzato): devo andare a comprare un hard disk esterno (che se ho capito deve essere vuoto, perché viene formattato nel memneto che faccio una copia del mio) e poi creare una immagine dell'hard disk del mio computer lì... Leggi tutto
18-5-2015 23:56

Gladiator
L'immagine dell'HD aggiornata è sicuramente la soluzione migliore... Leggi tutto
17-5-2015 11:20

Gladiator
E se non ce l'hai ti auguro che tu lo prenda presto... :wink: Leggi tutto
17-5-2015 11:19

Maary79
Ciao R16, Non credo che la console serva a qualcosa, visto che questo virus pialla l'hd senza distinzione di SO o file system. Un immagine dell 'hd aggiornata piuttosto è la soluzione più semplice e indolore.
17-5-2015 00:13

R16
Con la console di XP ripristini l'MBR e poi il Grub di Ubuntu. Oppure se stata previdente e ti sei fatta un'immagine pulita del HD, la ripristini, e così fotti il virus senza tante storie. Leggi tutto
15-5-2015 18:57
Leggi gli altri 3 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Stai installando un'applicazione. Cosa fai quanto compare il contratto di licenza?
Lo leggo attentamente e poi faccio click su “Accetto”
Do un sguardo al testo e poi accetto
Dipende dall'applicazione. A volte leggo il contratto di licenza
Non leggo mai il contratto di licenza. È davvero indispensabile?
Leggo il contratto di licenza dopo aver installato l'applicazione

Mostra i risultati (1536 voti)
Settembre 2025
n. 3989 del 08-09-2025
Intelligenza artificiale per le automobili, licenziati 54 ricercatori a Torino
n. 3988 del 05-09-2025
Dolcificanti a zero calorie e declino cognitivo: una ricerca brasiliana scopre un preoccupante legame
n. 3987 del 03-09-2025
WinToUSB trasforma una chiavetta USB in un sistema Windows perfettamente funzionante
n. 3986 del 01-09-2025
Meta accede a tutto il rullino fotografico senza permesso. Ma disattivare si può: ecco come
Agosto 2025
n. 3985 del 28-08-2025
Google, stop all'obbligo di usare Gmail per gli account Android
n. 3984 del 27-08-2025
Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dati è fin troppo semplice
n. 3983 del 26-08-2025
Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft
n. 3982 del 25-08-2025
La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno
n. 3981 del 21-08-2025
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark web
n. 3980 del 19-08-2025
Volkswagen, microtransazioni nelle auto: per utilizzare tutti i cavalli bisogna abbonarsi
n. 3979 del 18-08-2025
Windows 11 24H2, dopo l'aggiornamento i dischi scompaiono. E i dati possono corrompersi
n. 3978 del 14-08-2025
Microsoft fagocita GitHub: fine dell'indipendenza dopo sette anni. Futuro nella IA
n. 3977 del 12-08-2025
Chiede a ChatGPT come sostituire il sale, finisce in ospedale con una malattia di cent'anni fa
n. 3976 del 11-08-2025
Windows 2030, addio a mouse e tastiera: farà tutto la IA
n. 3975 del 08-08-2025
La bolla finanziaria degli LLM
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 9 settembre
2024
Apple svela i nuovi iPhone 16 con chip A18 e Apple Intelligence
2022
Processori AMD, breve guida alla nuova nomenclatura
2021
Uno spot mette Windows 11 KO
2020
Amazon cancella 20.000 recensioni fake
2019
Richard Stallman tiene a Microsoft una conferenza sull'open source
2018
Volete tenere Windows 7? Il prezzo continuerà a crescere
2017
Reti elettriche sotto attacco hacker
2016
Snowden rivela l'Echelon britannica
2015
Il tablet da 50 dollari di Amazon
2014
iPhone 6, tutti i rumor (confermati)
2013
NSA accede a TOR e agli smartphone
2011
Il boot velocissimo di Windows 8
2010
Il meglio del forum Software per Internet
2009
Trovare lavoro coi social network
2008
Intel rinnova gli Xeon, ora più veloci ed ecologici
2005
Le nuove offerte del Voip
2004
Tim, Vodafone, Wind per i bambini dell'Ossezia
2003
Open source come modello di business [4]
2002
Spam, situazione in Usa e in Europa
Olimpo Informatico


 
web metrics