Ромбертик - Rombertik

Ромбертик это шпионское ПО, предназначенное для кражи конфиденциальной информации от целей с помощью Internet Explorer, Firefox или Chrome, работающих на компьютерах Windows.[1] Впервые об этом сообщили исследователи из Cisco Talos Security and Intelligence Group.

Операция

Rombertik использует несколько методов, чтобы затруднить анализ или обратное проектирование. Более 97% файла - это ненужный код или данные, которые могут ошеломить аналитиков. Он просматривает код сотни миллионов раз, чтобы отложить выполнение, и проверяет имена файлов и имена пользователей, используемые Песочницы для анализа вредоносных программ.

Если Rombertik обнаруживает изменение во времени компиляции или двоичном ресурсе в памяти, он пытается перезаписать Главная загрузочная запись (MBR) на основном жестком диске.[2] MBR содержит код, необходимый для загрузки операционной системы, а также информацию о том, где на жестком диске хранятся разделы. Хотя данные пользователя остаются на жестком диске, операционная система не может получить к ним доступ без MBR. В некоторых случаях можно восстановить данные с жесткого диска с измененной MBR.[3]

Если вредоносная программа не имеет необходимых разрешений для перезаписи MBR, она вместо этого шифрует каждый файл в домашнем каталоге жертвы. Этот метод шифрования каталогов похож на программа-вымогатель, но Rombertik не пытается вымогать деньги у своих жертв. Файлы, зашифрованные с помощью надежного ключа, восстановить практически невозможно.[4]

Продвигается с помощью спама и фишинговых писем,[5] после установки Rombertik внедряет код в запущенные процессы Internet Explorer, Firefox и Chrome. Введенный код перехватывает веб-данные до того, как они зашифровываются браузером, и пересылает их на удаленный сервер.[1]

Рекомендации

  1. ^ а б "В центре внимания угроз: Ромбертик". Блоги Cisco. 4 мая 2015 года.
  2. ^ «Самоуничтожающийся вирус убивает ПК». Новости BBC. 5 мая 2015 года.
  3. ^ «Концепции восстановления разделов». Программное обеспечение для активного восстановления данных. Получено 8 мая, 2015.
  4. ^ Лемос, Роберт (13 июня 2008 г.). «Программа-вымогатель, сопротивляющаяся попыткам взлома криптографии». SecurityFocus.
  5. ^ «Как удалить вредоносное ПО Rombertik». Венцлер Нео. Получено 11 мая, 2015.>