Skadevaren Rombertik stopper forsøk på analyse ved å overskrive harddisk-sektor. (Bilde: Jan Miks / Alamy/All Over Press)

ROMBERTIK

Straffer brukeren dersom den oppdages

Ny skadevare forsøker å ødelegge harddisk-innholdet.

Det meste av skadevare handler i dag om å tappe brukeren for informasjon eller penger.

Det gjelder også Rombertik, en ny Windows-skadevare som har blitt oppdaget av Cisco Talos Security Intelligence and Research Group.

«Wiper»

Men Rombertik er mer hensynsløs enn skadevare flest. For den straffer brukeren dersom den oppdager at noen forsøker å analysere eller debugge den.

Dette skjer ved den overskriver oppstartssektoren, Master Boot Record (MBR), til den første lagringsenheten i pc-en, PhysicalDisk0.

Deretter startes systemet på nytt. Istedenfor at operativsystemet lastes, vises da en enkel melding med teksten «Carbon crack attempt, failed».

Dersom Rombertik ikke får tilgang til å skrive over MBR, noe som er fullt mulig å blokkere, vil den i stedet kryptere alle de personlige filene i brukerens hjemmemappe ved hjelp av en virkårlig generert RC4-nøkkel.

Maskinvarebasert: Slik skal Microsoft bekjempe skadevare 

Utpressing?

Skadevare som gjør brukerens filer utilgjengelige ved å kryptere dem, er ikke uvanlig. Dette kalles for utpressingsvare.

Hensikten med dette er å få offeret til å betale for en nøkkel som kan låse opp filene igjen.

Men det er ingenting som tyder på at brukere som rammes av Rombertik på denne måten, vil kunne kjøpe tilgang til filene igjen. De må bare håpe at sikkerhetskopieringen av filene har fungert.

– Selv om Talos også tidligere har observert anti-analyse- og anti-debuggingsteknikker i skadevare, er Rombertik unik ved at den aktivt forsøker å ødelegge datamaskinen dersom den oppdager attributter knyttet til skadevareanalyse, skriver Talos Group.

Les også: Hafslund-app lagrer alle brukernes tekstmeldinger

Massiv

Utviklerne av Rombertik har forsøkt å gjøre jobben så vanskelig som mulig for skadevareanalytikere ved å begrave den egentlige funksjonaliteten i en mengde ubrukt funksjonalitet.

 

Den inneholder blant annet mer enn 8000 ubrukte funksjoner, utfører 960 millioner skriveinstruksjoner og forsøker å omgå sandkasser ved å ligge i dvale i lang tid.

No iOS Zone: Kan få enhver iPhone i nærheten til å krasje

Hovedfunksjonen

Den egentlige hensikten med Rombertik er å stjele brukerdata.

Dersom den oppdager at Internet Explorer, Chrome eller Firefox kjøres på systemet, vil den injisere seg selv inn i prosessen og koble seg på API-funksjoner for håndtering av tekstdata.

Dermed kan den fange opp og videresende alt brukeren skriver inn i nettleseren, inkludert brukernavn og passord til nettsteder.

Innbruddsekspert: – Har du en pc, er du et mål

E-post

Rombertik spres primært gjennom spam- og phishingmeldinger som sendes som e-post til ofrene.

Mottakerne av disse meldingene lokkes til å åpne vedlegget, som typisk er komprimert fil som inneholder noe som for uoppmerksomme brukere kan se ut til å være et PDF-dokument.

I virkeligheten er det en skjermsparer-applikasjon som installerer Rombertik i systemet.

Botemidler

Rådene til Talos for å hindre at Romberik infiserer pc-en, går blant annet ut på at man har oppdatert antivirus-programvare på maskinen, lar være å åpne vedlegg fra ukjente avsendere og at bedriften har robuste sikkerhetsregler for e-post, som for eksempel blokkerer visse typer vedlegg.

Men Cisco, som tilbyr sikkerhetsprodukter, anbefaler at man også har verktøy som gir forvaret mot skadevare større dybde.

Så får man bare håpe at sikkerhetsverktøyene en har, klarer å oppdage og fjerne Rombertik uten å utløse den mest destruktive funksjonaliteten.

Avslørte egne passord rett i TV-ruta: Slik kunne IS hacke en hel TV-stasjon

Til toppen