Rombertik, le malware qui veut tuer votre PC

06 mai 2015 à 10h05
0
0096000007185600-photo-logo-antivirus.jpg
Un groupe de chercheurs en sécurité travaillant pour l'américain Cisco ont mis la main sur un malware particulièrement virulent, baptisé Rombertik. En plus d'espionner la machine sur laquelle il est installé, ce dernier peut savoir s'il est repéré et s'attaquer au disque dur de sorte à rendre le système inutilisable.

Au départ, rien ne distingue Rombertik d'autres malwares plus communs. Il se faufile à travers les boîtes mail, les armes traditionnelles que sont spam et phishing étant inévitablement les vecteurs de propagation privilégiés. Mais une fois la pièce jointe ouverte par l'utilisateur (qui peut prendre la forme d'un fichier PDF, ou d'un fichier compressé), c'est le drame.

Car ce malware redoutable dispose de plusieurs cordes à son arc. Naturellement, il va tenter de récupérer des données sensibles en surveillant ce que vous saisissez au clavier, puis envoyer ces informations aux auteurs de ce code malicieux. Mais là n'est pas la particularité de ce programme.

Une fois installé, vos données et votre système sont perdus

Ce dernier se distingue plutôt par sa capacité à se protéger et par la politique de la terre brûlée qui est la sienne. Après que le code est exécuté, le malware va commencer par vérifier s'il fonctionne à l'intérieur d'une sandbox, sorte de système virtuel prévu pour éviter la propagation.

Lorsque ce contrôle de routine est effectué, il va se déployer et vérifier qu'il ne fait pas l'objet d'une analyse mémoire. Si tel est le cas, il s'attaque au MBR du support de stockage de la machine, de sorte à rendre le système inopérant. S'il n'y parvient pas, il va s'atteler à chiffrer les fichiers de l'utilisateur, puis redémarrer la machine, qui ne parviendra jamais à afficher de nouveau Windows. Pourquoi ? Parce que Rombertik aura pris soin d'exécuter un code avant le lancement du système d'exploitation de sorte à créer une boucle infinie.

0258000008028162-photo-rombertik.jpg

Si le malware échappe à l'analyse mémoire, le PC évite ces dommages. Mais ces derniers arriveront tout de même dès lors qu'un antivirus aura entrepris un scan de la machine. Scan qui sera par ailleurs ralenti par la quantité faramineuse d'information que produira Rombertik. Ce malware est créé pour tromper les moteurs d'analyse, puisqu'il est composé en grande partie de code inutile et de données factices.

Finalement, Rombertik est conçu pour leurrer les antivirus et gagner suffisamment de temps pour récolter un maximum de données. Une fois compromis, il ne laisse rien sur son passage.

Un MBR se récupère, et une sauvegarde de vos données pourra vous permettre de rétablir votre système comme il était avant l'arrivée de ce monstre. Mais le plus simple est probablement d'éviter de cliquer sur une pièce jointe placée dans un email dont vous ne connaissez pas l'expéditeur.

0258000008028138-photo-rombertik.jpg
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Le premier camion semi-autonome autorisé à rouler aux USA
HearthStone : 30 millions de joueurs pour le jeu de cartes signé Blizzard
Microsoft envisagerait un rachat de Salesforce
Pinnacle propose Studio 18.5 et revoit la gravure de DVD & Blu-ray
Mode examen : Casio signale la fin des antisèches sur calculatrices
4G : Free double SFR dans la course aux relais
GOG Galaxy : un concurrent de Steam sans DRM en bêta
ProtonMail améliore le chiffrement et la gestion des messages
Windows 10 : Cortana offrira un support technique aux utilisateurs
Infos US de la nuit : la télécommande de l'Apple TV évolue
Haut de page