Évitez la destruction de vos données par Rombertik avec Symantec

Évitez la destruction de vos données par Rombertik avec Symantec

Alors que l’éditeur de solutions de sécurité informatique Symantec a recensé en 2014 quelque 317 millions de malwares, des programmes jamais vus continuent d’apparaître. Les chercheurs de l’équipementier Cisco viennent ainsi de faire repérer un autre du nom de Rombertik.

 

Hormis ses capacités en matière de cyber-espionnage, sa particularité est de détruire l’intégralité du contenu du disque dur aussitôt qu’il est localisé, ce qui le rend plus dangereux que la plupart des autres nuisances informatiques recensées.

 

Rombertik détruit le disque dur lorsqu’il est repéré

 

Rombertik parvient aux victimes utilisant Windows via leur boîte électronique, sous la forme d’une pièce jointe à un email. Aussitôt qu’il est ouvert, son exécution démarre. S’il s’aperçoit qu’il est exécuté dans une sandbox (bulle virtuelle isolante où sont lancées les programmes potentiellement dangereux), il remplit la mémoire de données aléatoires répétées 960 millions de fois, rendant quasiment impossible sa détection par l’outil de recherche d’un antivirus classique, l’analyse requérant 100 Go d’espace libre pour toute tentative d’enregistrement d’un rapport de l’activité de Rombertik.

 

Pendant tout le temps où il passe inaperçu, ce programme pernicieux se duplique en insérant des commandes d’espionnage dans ses propres copies. Ensuite, il lance une nouvelle vérification des processus en cours afin de s’assurer qu’aucun scan de la mémoire n’est effectué. À ce stade, il force un redémarrage du système, en détruisant au passage le Master Boot Record du disque dur, dans lequel se situe la table des partitions.

 

Bien que le MBR puisse être assez simple à reconstituer, le problème n’est pas résolu, car l’action de Rombertik se poursuit avec la suppression des données du système et de l’utilisateur. Et dans le cas où un dispositif d’authentification le prive des autorisations nécessaires pour redémarrer, il trouve quand même un moyen d’affecter l’appareil en cryptant les données personnelles.

 

Et si Rombertik n’est toujours pas inquiété, il active ses fonctions d’espion injectées. Ainsi, il s’attaque au navigateur et dérobe toutes les données stockées dans la machine, qu’il communique ensuite à l’insu de l’utilisateur vers le serveur du hacker.

 

Les recommandations de Symantec pour se protéger de Rombertik

 

Pour se protéger des effets de ce malware, les experts rappellent de ne jamais ouvrir des pièces jointes provenant d’un expéditeur inconnu, et recommandent d’adopter une solution de sécurité puissante comme celles de Symantec, en mesure de reconnaître la signature de Rombertik. Il s’avère également indispensable d’actualiser en permanence sa protection afin de profiter de la liste à jour des malwares connus et bénéficier du correctif adapté.

 

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *