Home News “Rombertik”, il malware che invalida gli hard disk se rilevato
“Rombertik”, il malware che invalida gli hard disk se rilevato PDF Stampa E-mail
Venerdì 08 Maggio 2015 14:00

Cisco System ha rinominato il malware del quale andiamo a parlare in questa news “Rombertik”. Se i motivi dietro alla scelta del nome interessano ben poco gli utenti del web, le modalità con cui opera “Rombertik” e i danni che quest’ultimo può causare agli hard disk potrebbero invece suscitarne l’attenzione.

Le strategie adoperate dal malware sono infatti “innovative” ed in grado di mettere in difficoltà i vari strumenti di sicurezza attualmente in utilizzo. In primo luogo individuare “Rombertik” è complesso: solo il 3% del suo codice è adibito infatti ad azioni malevole, il restante 97% è una schiera di innocue funzioni ed immagini. Per rallentare ulteriormente eventuali software di scansione, il malware crea fino a 100GB di file log, una considerevole quantità di dati che “impegna” inutilmente gli strumenti di sicurezza.

In secondo luogo il malware è in grado di determinare se si trovi o meno all’interno di un ambiente “sandbox” e quindi in una virtual machine (VM): il tutto è possibile grazie ad alcune function call invalide che sono in grado di rivelare la presenza di VM.

Le reazioni del malware: attacco allo storage

La parte più “interessante” riguarda tuttavia il modo in cui il malware reagisce nel caso in cui venga individuato e/o scopra di essere in esecuzione all’interno di una VM. Le azioni sono sostanzialmente due e portano entambe alla perdita dei dati e/o all’inutilizzabilità della periferica di storage colpita: la prima prende di mira il master boot record (MBR) dell’hard disk, sovrascrivendolo. Ciò rende praticamente impossibile il recupero dei dati e dell’hard disk stesso.

La seconda, nel caso l’accesso al MBR non sia possibile, prevede l’impiego di un algoritmo di crittografia che va a interessare tutti i file presenti nella directory C: dell’amministratore di sistema. Di seguito potete visionare uno schema riassuntivo (click per ingrandire) che illustra in maniera più dettagliata il comportamento di “Rombertik” (fonte: Talos, CloudTweaks.com).

Rombertik malware

 

 

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.