Rombertik, le malware qui détruit toutes vos données ...

[Graceland 0]

Rombertik, le malware qui détruit toutes vos données dès qu'il est repéré

Rombertik, tel est le nom du malware que vient de repérer une équipe de chercheurs de Cisco. Des malwares, il en existe plusieurs centaines de millions. Selon l'éditeur Symantec, il y en aurait eu plus de 317 millions en 2014. Alors qu'a donc Rombertik de particulier ? Si ce logiciel malveillant rassemble à peu près tout ce qui se peut se faire aujourd'hui en termes de dangerosité et d'espionnage, il possède néanmoins une petite particularité : il est capable de détruire toutes les données du disque dur dès qu'il se fait repérer.

Le malware en question se présente sous la forme d'une pièce jointe envoyée par email. Pour démontrer sa dangerosité, les chercheurs de Cisco l'ont joint dans un faux PDF, qui était en fait un fichier de mise en veille .SCR. Le malware, une fois exécuté sur une machine sous Windows, commence par détecter s'il est exécuté dans une sandbox. Si c'est le cas, il écrit en mémoire des données aléatoires 960 millions de fois. Les chercheurs ont conclu que, si un outil d'analyse tentait d'enregistrer un rapport de l'activité de Rombertik, il lui faudrait 100 Go d'espace et 25 minutes d'écriture. De quoi ralentir considérablement l'exécution du PC et de rendre complexe toute détection par un antivirus.

Rombertik ne s'arrête pas en si bon chemin. S'il n'est pas détecté, il se déploie et fait une copie de lui-même en y intégrant des fonctions d'espionnage. Il effectue une seconde vérification des processus en cours, afin de déterminer si une analyse mémoire est en cours. Et c'est là que les choses se gâtent : Rombertik redémarre en conséquence et détruit le MBR (Master Boot Record, le premier secteur du disque dur, qui contient la table des partitions). Si l'on peut facilement recréer le MBR, le malware va encore plus loin, puisqu'il efface également les données de l'utilisateur, ainsi que celles du système. Et s'il ne possède pas les autorisations nécessaires pour redémarrer, il se contente de chiffrer les données personnelles

Dans le cas où Rombertik ne serait pas détecté, il entame son travail d'espionnage. Il corrompt et s'installe dans le navigateur, et intercepte toutes les données de l'utilisateur, qu'il transmet ensuite au serveur d'un cyberdélinquant. Pour éviter de se retrouver face à ce genre de pernicieux malware, deux conseils : ne jamais ouvrir les pièces jointes d'un destinataire que vous ne connaissez pas (mais ça, vous le saviez déjà). Et installer un logiciel de sécurité capable de détecter la signature ou la méthode de fonctionnement de Rombertik.

Source : tom's guide (6 mai 2015)