FOSSBYTES TECH SIMPLIFIED LOGO
Tphần mềm độc hại của anh ta được Cisco xác định và họ đã chia sẻ thông tin về việc chiếc PC này tiêu diệt phần mềm độc hại trên blog Talos Group của họ. Rombertik được tạo ra để chặn bất kỳ văn bản nào được nhập làm đầu vào trong cửa sổ trình duyệt. Theo Cisco, điều này hiện đang được lan truyền thông qua các tin nhắn lừa đảo và thư rác.

Nếu phần mềm độc hại Rombertik được phân tích trên một hệ thống, nó sẽ phá hủy bản ghi khởi động chính (MBR) của PC. Nó đọc thông tin đăng nhập của người dùng và dữ liệu cá nhân khác và chuyển nó cho kẻ tấn công. Điều này tương tự như Dyre được thiết kế để thu thập thông tin ngân hàng. Phạm vi của Rombertik rộng hơn nhiều và nó thu thập dữ liệu từ tất cả các loại trang web.

Rombertik hoạt động như thế nào?

Như tôi đã đề cập ở trên, Rombertik được phát tán qua các tin nhắn lừa đảo và thư rác. Kẻ tấn công có thể gửi phần mềm độc hại đến mục tiêu của nó bằng nhiều chiến thuật truyền thông xã hội hoặc email. Nếu mục tiêu chọn tải xuống các tài liệu đính kèm, khi giải nén mục tiêu sẽ thấy một tệp trông giống như hình thu nhỏ của tài liệu, nhưng đó là tệp thực thi .SCR chứa Rombertik đã chết.

Khi tệp được nhấp vào, Rombertik bắt đầu thực thi. Nó thực hiện một số kiểm tra để xem liệu nó có chạy bên trong hộp cát hay không. Sau đó, nó tự cài đặt bên trong hệ thống đích và khoảng 97% tệp được giải nén trông hợp pháp. Để tránh các ứng dụng cố gắng theo dõi nó, nó bắt đầu ghi 960 triệu byte ngẫu nhiên vào bộ nhớ. Vì vậy, nếu bất kỳ ứng dụng nào cố gắng phát hiện phần mềm độc hại, ứng dụng đó sẽ chứa nhiều tệp nhật ký hơn 100GB đó.

thỏa hiệp-flow-wm
Hình ảnh: Cisco

Sau khi xác nhận rằng nó không chạy bên trong hộp cát, nó sẽ tính một hàm băm 32-bit. Sau đó, nó khởi động cuộc tấn công vào Master Boot Record của hệ thống của bạn và khiến nó gần như không thể khôi phục ổ đĩa.

Nếu nó không thể phát với Master Boot Record, nó sẽ phá hủy tất cả các tệp trong thư mục chính của người dùng, tức là C: Documents and Settings Administrator bằng cách sử dụng một RC4key.

Kết luận và biện pháp phòng ngừa:

Cisco nói rằng Rombertik là một phần mềm độc hại nhiều lớp phức tạp. Người dùng phải tuân thủ các biện pháp bảo mật tốt như cập nhật chương trình chống vi-rút, tránh nhấp vào tệp đính kèm từ các nguồn không xác định và cẩn thận hơn khi xử lý email. Cisco cũng đã đề cập đến một số sản phẩm bảo mật để ngăn chặn người dùng khỏi các mối đe dọa như vậy.

Thông qua: Cisco

Chia sẻ tin tức này với bạn bè của bạn và làm cho họ biết về virus đánh bom liều chết chết người Rombertik này.

Khuyến nghị: USBkill – Mã biến ổ USB thành vũ khí giết người trên PC

This post is also available in: Spanish German Tiếng Việt

LEAVE A REPLY

Please enter your comment!
Please enter your name here