A apărut un virus agresiv de Windows care, daca este detectat si se incearca stergerea lui, face sistemul de operare inutilizabil. Virusul Rombertik, atunci cand se "simte amenintat", șterge fișierele importante, cauzand un repornire in bucla. Pe computerele unde rămâne nedetectat, virusul fură date de logare și alte informații confidențiale, pentru orice website unde utilizatorul se loghează.
Rombertik infecteaza de obicei un computer vulnerabil, după ce un atașament dintr-un mesaj de tip phishing este rulat. Unele dintre mesaje de propagare a virusului Rombertik pretind a fi emailuri de la Microsoft.
Rombertik este unic prin faptul că încearcă în mod activ să deterioreze sistemul de operare, dacă detectează anumite atribute asociate cu analiza antivirus. Malware-ul efectuează în mod regulat controale interne pentru a detecta dacă este sub analiză. În cazul în care consideră că este analizat, acesta șterge un element esențial, denumit Master Boot Record (MBR). Apoi va restarta computerul care, din cauza MBR lipsește, va rula într-o buclă de repornire. MBR este inlocuit cu un fisier care anunță "Carbon crack attempt, failed".
Rombertik foloseste si alte trucuri pentru a bloca analizele efectuate de antivirus. Unul dintre acestea implică scrierea în memorie de 960 milioane de ori a unui octet de date aleatorii, încât să copleșească instrumentele de analiză care încearcă să detecteze virusul.
Restaurarea functionalitatii unui PC cu MBR sters implică reinstalarea Windows (ceea ce ar putea însemna pierderea de date importante) sau operatiuni mai complexe, cum ar fi mutarea hard-diskului in alt computer ( operatiune riscanta, poate infecta si computerul ajutator ) sau boot-are de pe un disc dedicat de reparare MBR. Master Boot Record (MBR) este un tip special de sector al dispozitivul de stocare, cum ar fi hard-discuri sau unități mobile de stocare, destinate utilizării cu sisteme IBM PC. Conceptul de MBR a fost introdus public în 1983, in acelasi timp cu PC DOS 2.0.
Daca nu resueste sa stearga MBR, atunci cripteaza fisiere din computer cu o cheie aleatorie.
Rombertik nu este un virus normal pentru zilele noastre, cand virusii opereaza in liniste, fără să afecteze vizibil sistemul de operare, nedorind să atragă atenția asupra lor, ci doar să pândească si sa fure informații pentru o lungă perioadă de timp.
marți, 5 mai 2015
Rombertik, virusul care devine agresiv când este detectat
Top 10 articole în ultimele 7 zile
-
Realitatea Plus (cunoscută anterior ca Realitatea Tv) este un post de televiziune din România, axat pe știri și analize de actualitate. Lans...
-
România TV este un post de televiziune românesc, înființat în 2011, care difuzează programe de știri și analize de actualitate. În prezent, ...
-
O nouă schimbare în grila de programe DIGI TV a adus canalul Film Mania în oferta televiziunii digitale prin cablu. Canalul este acum dispon...
-
Antena 3 CNN este un canal de televiziune din România, parte a grupului Intact Media Group, cunoscut pentru focusul său pe știri și conținut...
-
DIGI România a realizat un transfer important de blocuri de adrese IPv4 către subsidiara sa din Spania, DIGI Spania.
-
Pe platforma de streaming românească Prima Play a apărut un nou canal, Nostalgia TV. Este un post tv cu filme clasice, inclusiv europene.
-
Orange vine cu o surpriză plăcută pentru iubitorii de filme și seriale: toate canalele de filme HBO și Cinemax pot fi urmărite gratuit prin ...
-
După finalizarea testelor de performanță și validare tehnică, SES a anunțat că satelitul ASTRA 1P (cel mai avansat din portofoliul său, ce v...
-
Industria televizoarelor trece printr-o schimbare de proporții, iar producătorii par să joace un fel de ruletă financiară. Cum altfel să exp...
-
LaLiga își ia treaba în serios când vine vorba de protejarea drepturilor sale audiovizuale, iar pentru sezonul 2024/2025 are o „superputere”...
1. Calculatoarele noi au BIOS UEFI și nu mai depind de acel MBR pentru a boota. Pe astea le afectează?
2. Nu exagerați! MBR-ul se rescrie foarte ușor, bootand de pe un mediu de instalare Windows, alegând reparare, apoi se merge în cmd și se scrie bootrec /fixmbr . Este foarte simplu și nu se pierde nimic.
Doar oare cati din cei care au EFI disponibil la placa de baza au si intrat sa il si seteze din BIOS si nu l-au uitat tot pe MBR setat ?
Nu mai vorbesc de faptul ca virusul iti afla parolele la conturi si iti cripteaza fisierele.
De metoda de reparare cu disc dedicat e scris deja in stirea asta, cred ca n-ai observat.
@Laurențiu, astea nu le schimbi când ai chef, pentru ca e greu fără sa formatezi tot hardul... Computerele vândute incepand cu 2012-2013 cu Windows preinstalat au cel mai probabil hard GPT și sistem EFI. Nu ai cum sa îl uiți setat intr-un fel sau altul, deoarece conteaza cum e la (re)instalarea sistemului de operare.
Încă ceva, virusul nu șterge MBR-ul, altfel calculatorul ar afișa ceva de genul no operating system found. Îl înlocuiește cu bootloader ul lui care cine știe ce mai face pe lângă faptul ca afișează chestia aia cu carbon crack. ..
Probabil il sterge si il inlocuieste cu ceva similar MBR-ului, dar care afiseaza si acel mesaj.
Asa zic si alti, ca unde e MBR se scrie biti nuli, deci o stergere de aia ca lumea: "If it can get its hands on the MBR, it overwrites the partition data with null bytes, making it extremely difficult to restore the drive.":
Si CISCO spune la fel, ca distruge MBR.
Si eu am calculator din 2013, facut din componente cum am vrut, nu a venit cu Windows preinstalat, nici nu stiam ca pot seta EFI in BIOS, desi vad ca am, dar e pe MBR la mine. Cred ca va trebuie sa reinstalez Windowsul sa fie EFI, nu ? Oricum, nu cred ca toata lumea are computere din 2012-2013, cred ca trei sferturi le au mai vechi...
Si ce e mai important, ca ati axat discutia doar pe MBR-ul asta, care nu e mare problema pentru cineva care se pricepe cat de cat la calculatoare, ca macar stie sa-si reinstaleze Windowsul, e ALTCEVA: ca mai si cripteaza fisiere si fura parole si conturi, care e de 1000 de ori mai grav decat stergerea sau inlocuierea MBRului ala.
Trimiteți un comentariu
☑ Comentariile conforme cu regulile comunității vor fi aprobate în maxim 10 ore. Dacă ai întrebări ce nu au legătură cu acest subiect, te invităm să le adresezi în Grupul Oficial HD Satelit.