(Cio Mag) – Virulent et dangereux. Les mots ne sont pas forts pour qualifier ce virus informatique baptisé Rombertik, qui commence à faire parler de lui sur Internet. Sa particularité est qu’il pénètre dans votre ordinateur qu’il finit bien souvent par détruire.
D’abord, il infeste votre PC via un e-mail d’hameçonnage, un fichier PDF corrompu, notamment. Une fois dans le système, Rombertik fait un état des lieux, de façon à s’assurer qu’il n’est pas dans une sandbox (ce qui limiterait son champ d’action). Ensuite, il se dissimule dans les entrailles du PC. Discrètement installé comme dans un cocon douillé, il s’attelle alors à remonter des informations personnelles en espionnant la navigation Internet par exemple, y compris de sites HTTPS.
Sa spécificité est de surveiller en parallèle s’il n’est pas lui-même surveillé. En cas de détection de sa présence, il se défend en inscrivant aléatoirement plus de 960 millions de fois des données. Ce qui contribue à ralentir la machine et surtout à réduire les chances de l’antivirus de le retrouver.
Rombertik attaque le MBR
Plus malicieux encore : alors qu’il laisse la version détectée se faire observer, il se réplique pour aller se cacher ailleurs et continuer de contaminer le poste de travail. Mais s’il est découvert, il devient alors très agressif. Rombertik s’en prend directement au disque dur, en attaquant le Master Boot Record (MBR) et en corrompant la table des partitions. Sinon, il chiffre tous les fichiers personnels à sa disposition avec une clé RC4 aléatoire ou efface toutes les données… La machine finit par redémarrer sans pouvoir booter sur une session Windows. L’ordinateur est pris dans une boucle sans fin et devient alors totalement inutilisable.
La meilleure solution pour s’en prémunir reste l’utilisation de systèmes de défense prédictifs et des solutions automatisées de réponses aux menaces venant localiser et bloquer l’exfiltration de données.
Source : IT For Business