Au départ, rien ne distingue Rombertik d'autres malwares plus communs. Il se faufile à travers les boîtes mail, les armes traditionnelles que sont spam et phishing étant inévitablement les vecteurs de propagation privilégiés. Mais une fois la pièce jointe ouverte par l'utilisateur (qui peut prendre la forme d'un fichier PDF, ou d'un fichier compressé), c'est le drame.
Car ce malware redoutable dispose de plusieurs cordes à son arc. Naturellement, il va tenter de récupérer des données sensibles en surveillant ce que vous saisissez au clavier, puis envoyer ces informations aux auteurs de ce code malicieux. Mais là n'est pas la particularité de ce programme.
Une fois installé, vos données et votre système sont perdus
Ce dernier se distingue plutôt par sa capacité à se protéger et par la politique de la terre brûlée qui est la sienne. Après que le code est exécuté, le malware va commencer par vérifier s'il fonctionne à l'intérieur d'une sandbox, sorte de système virtuel prévu pour éviter la propagation.Lorsque ce contrôle de routine est effectué, il va se déployer et vérifier qu'il ne fait pas l'objet d'une analyse mémoire. Si tel est le cas, il s'attaque au MBR du support de stockage de la machine, de sorte à rendre le système inopérant. S'il n'y parvient pas, il va s'atteler à chiffrer les fichiers de l'utilisateur, puis redémarrer la machine, qui ne parviendra jamais à afficher de nouveau Windows. Pourquoi ? Parce que Rombertik aura pris soin d'exécuter un code avant le lancement du système d'exploitation de sorte à créer une boucle infinie.
Si le malware échappe à l'analyse mémoire, le PC évite ces dommages. Mais ces derniers arriveront tout de même dès lors qu'un antivirus aura entrepris un scan de la machine. Scan qui sera par ailleurs ralenti par la quantité faramineuse d'information que produira Rombertik. Ce malware est créé pour tromper les moteurs d'analyse, puisqu'il est composé en grande partie de code inutile et de données factices.
Finalement, Rombertik est conçu pour leurrer les antivirus et gagner suffisamment de temps pour récolter un maximum de données. Une fois compromis, il ne laisse rien sur son passage.
Un MBR se récupère, et une sauvegarde de vos données pourra vous permettre de rétablir votre système comme il était avant l'arrivée de ce monstre. Mais le plus simple est probablement d'éviter de cliquer sur une pièce jointe placée dans un email dont vous ne connaissez pas l'expéditeur.
Mes domaines de prédilection ? Les ordinateurs portables et les SSD ! Mais de temps à autre, je m'autorise quelques infidélités pour des boîtiers, des alimentations ou des solutions de refroidissement, tests dont je suis particulièrement friand. Je déteste l'expression "Le mieux est l'ennemi du bien" (notamment lorsqu'il s'agit de rendre mon PC silencieux), les livreurs qui arrivent sans bordereau et les coups de pieds de Polo sous le bureau. J'aime réussir mes photos-produit, améliorer les protocoles de test et cocher la case "Public" de notre interface d'édition. Féru de football, je m'essaie également à la photographie à mes heures perdues et ne recule jamais devant une petite partie de poker. Le tout saupoudré de beaucoup, beaucoup de musique.
Lire d'autres articles
