marți, 5 mai 2015

Rombertik, virusul care devine agresiv când este detectat

A apărut un virus agresiv de Windows care, daca este detectat si se incearca stergerea lui, face sistemul de operare inutilizabil. Virusul Rombertik, atunci cand se "simte amenintat", șterge fișierele importante, cauzand un repornire in bucla. Pe computerele unde rămâne nedetectat, virusul fură date de logare și alte informații confidențiale, pentru orice website unde utilizatorul se loghează.

Rombertik infecteaza de obicei un computer vulnerabil, după ce un atașament dintr-un mesaj de tip phishing este rulat. Unele dintre mesaje de propagare a virusului Rombertik pretind a fi emailuri de la Microsoft.

Rombertik este unic prin faptul că încearcă în mod activ să deterioreze sistemul de operare, dacă detectează anumite atribute asociate cu analiza antivirus. Malware-ul efectuează în mod regulat controale interne pentru a detecta dacă este sub analiză. În cazul în care consideră că este analizat, acesta șterge un element esențial, denumit Master Boot Record (MBR). Apoi va restarta computerul care, din cauza MBR lipsește, va rula într-o buclă de repornire. MBR este inlocuit cu un fisier care anunță "Carbon crack attempt, failed".

Rombertik foloseste si alte trucuri pentru a bloca analizele efectuate de antivirus. Unul dintre acestea implică scrierea în memorie de 960 milioane de ori a unui octet de date aleatorii, încât să copleșească instrumentele de analiză care încearcă să detecteze virusul.

Restaurarea functionalitatii unui PC cu MBR sters implică reinstalarea Windows (ceea ce ar putea însemna pierderea de date importante)  sau operatiuni mai complexe, cum ar fi mutarea hard-diskului in alt computer ( operatiune riscanta, poate infecta si computerul ajutator ) sau boot-are de pe un disc dedicat de reparare MBR. Master Boot Record (MBR) este un tip special de sector al dispozitivul de stocare, cum ar fi hard-discuri sau unități mobile de stocare, destinate utilizării cu sisteme IBM PC. Conceptul de MBR a fost introdus public în 1983, in acelasi timp cu PC DOS 2.0.

Daca nu resueste sa stearga MBR, atunci cripteaza fisiere din computer cu o cheie aleatorie.

Rombertik nu este un virus normal pentru zilele noastre, cand virusii opereaza in liniste, fără să afecteze vizibil sistemul de operare, nedorind să atragă atenția asupra lor, ci doar să pândească si sa fure informații pentru o lungă perioadă de timp.


5 comentarii despre subiectul „Rombertik, virusul care devine agresiv când este detectat”:
Anonim

1. Calculatoarele noi au BIOS UEFI și nu mai depind de acel MBR pentru a boota. Pe astea le afectează?
2. Nu exagerați! MBR-ul se rescrie foarte ușor, bootand de pe un mediu de instalare Windows, alegând reparare, apoi se merge în cmd și se scrie bootrec /fixmbr . Este foarte simplu și nu se pierde nimic.

Laurentiu

Doar oare cati din cei care au EFI disponibil la placa de baza au si intrat sa il si seteze din BIOS si nu l-au uitat tot pe MBR setat ?
Nu mai vorbesc de faptul ca virusul iti afla parolele la conturi si iti cripteaza fisierele.
De metoda de reparare cu disc dedicat e scris deja in stirea asta, cred ca n-ai observat.

Anonim

@Laurențiu, astea nu le schimbi când ai chef, pentru ca e greu fără sa formatezi tot hardul... Computerele vândute incepand cu 2012-2013 cu Windows preinstalat au cel mai probabil hard GPT și sistem EFI. Nu ai cum sa îl uiți setat intr-un fel sau altul, deoarece conteaza cum e la (re)instalarea sistemului de operare.

Încă ceva, virusul nu șterge MBR-ul, altfel calculatorul ar afișa ceva de genul no operating system found. Îl înlocuiește cu bootloader ul lui care cine știe ce mai face pe lângă faptul ca afișează chestia aia cu carbon crack. ..

Anonim

Probabil il sterge si il inlocuieste cu ceva similar MBR-ului, dar care afiseaza si acel mesaj.

Asa zic si alti, ca unde e MBR se scrie biti nuli, deci o stergere de aia ca lumea: "If it can get its hands on the MBR, it overwrites the partition data with null bytes, making it extremely difficult to restore the drive.":

Si CISCO spune la fel, ca distruge MBR.

Si eu am calculator din 2013, facut din componente cum am vrut, nu a venit cu Windows preinstalat, nici nu stiam ca pot seta EFI in BIOS, desi vad ca am, dar e pe MBR la mine. Cred ca va trebuie sa reinstalez Windowsul sa fie EFI, nu ? Oricum, nu cred ca toata lumea are computere din 2012-2013, cred ca trei sferturi le au mai vechi...

Anonim

Si ce e mai important, ca ati axat discutia doar pe MBR-ul asta, care nu e mare problema pentru cineva care se pricepe cat de cat la calculatoare, ca macar stie sa-si reinstaleze Windowsul, e ALTCEVA: ca mai si cripteaza fisiere si fura parole si conturi, care e de 1000 de ori mai grav decat stergerea sau inlocuierea MBRului ala.

Trimiteți un comentariu

☑ Comentariile conforme cu regulile comunității vor fi aprobate în maxim 10 ore.

Top 5 articole în ultimele 7 zile