Tin tức

Virus Rombertik xóa hoàn toàn dữ liệu ổ cứng bằng cách ghi đè MBR 20/08/2015

0
Các nhà nghiên cứu bảo mật vừa phát hiện một chủng phần mềm độc hại mới có tên là Rombertik, có khả năng tránh các phần mềm chống virus phát hiện, phân tích và khiến máy tính bị nhiễm không thể sử dụng được.



Virus Rombertik là một malware (mã độc) mới có khả năng bắt các gói tin để thu thập dữ liệu cá nhân khi duyệt web đồng thời sẽ tấn công và ghi đè lên MBR (Master Boot Record) ổ cứng máy tính để xóa dấu vết nếu bị phần mềm bảo mật phân tích khiến dữ liệu trên ổ cứng của bạn hoàn toàn biến mất






Phần mềm độc hại này là mẫu mã độc duy nhất có khả năng tự hủy với các kỹ thuật độc đáo của nó. Ngay khi phát hiện công cụ phân tích bất kỳ, Rombertik sẽ cố gắng xóa Master Boot Record (MBR) của thiết bị và các thư mục bên trong, khiến máy tính ngay lập tức phải khởi động lại. Nói cách khác, Rombertik chính là một phần phức tạp trong các phần mềm gián điệp, được thiết kế để thu thập mọi thông tin, dữ liệu từ người dùng trực tuyến. Từ đó, thu thập thông tin đăng nhập và các thông tin bí mật khác của nạn nhân.
 
Rombertik thường được cài đặt trên các máy chứa lỗ hổng, sau khi người dùng nhấp chuột vào các file đính kèm chứa trong email lừa đảo. Sau khi xâm nhập hệ thống máy tính, Rombertik sẽ chạy một loạt các kiểm tra chống phân tích để xác định nếu nó đang khởi chạy trong một sandbox. Trong trường hợp không chạy trong sandbox, Rombertik sẽ giải mã và tự cài đặt trên máy tính nạn nhân, sau đó cho phép phần mềm độc hại khởi tạo một bản sao thứ hai của chính nó và ghi đè lên nhằm thực hiện chức năng gián điệp.
 
Sau khi hoàn thành quá trình này và trước khi bắt đầu thực hiện gián điệp trên người dùng, Rombertik sẽ chạy một lượt kiểm tra cuối cùng để đảm bảo nó không bị phân tích trong bộ nhớ. Trong trường hợp tìm thấy bất kỳ dấu hiệu nào đang bị phân tích, phần mềm này sẽ cố gắng tiêu diệt MBR của máy tính, nhằm xóa dấu vết. Khi đó, MBR đã bị xóa mất khỏi ổ cứng và máy tính của nạn nhân sẽ khởi động lại liên tục và không thể dừng quá trình này lại được.



MBR chính là sector đầu tiên của ổ đĩa cứng máy tính mà hệ thống tìm kiếm
trước khi nạp hệ điều hành. Tuy nhiên, việc xóa hoặc phá hủy MBR liên quan
đến việc tải cài đặt của hệ điều hành, có nghĩa là dữ liệu có giá trị nhất đã bị mất.
Bất cứ khi nào Rombertik có nguy cơ bị phân tích và phát hiện, nó sẽ tự hủy,
 kèm theo đó là nội dung của ổ đĩa cứng máy tính cũng biến mất theo.
 
Sau khi đối chiếu thiết kế của các phần mềm độc hại, các nhà nghiên cứu nhận ra rằng Rombertik chứa khối lượng lớn các mã rác cần được phân tích. Các mẫu Rombertik giải nén 28KB lưu lượng trong khi phiên bản đóng gói là 1264KB, bao gồm 75 file hình ảnh và 8 nghìn file chức năng không bao giờ sử dụng tới. Hơn nữa, Romnertik lưu giữ bản thân trong sandbox bằng cách việt một byte dữ liệu ngẫu nhiên vào trong bộ nhớ 960 triệu lần nhằm tránh bị phát hiện.
 
Cách tốt nhất để hệ thống của mình không bị lây nhiễm mã độc đó là người dùng cần lưu ý không nhấp chuột vào bất kỳ liên kết độc hại hay có nghi ngờ không an toàn thông qua các email lừa đảo. Khi gặp các vấn đề về mã độc cần liên hệ ngay với cá chuyên gia ANM, các dịch vụ ứng cứu máy tính để được hỗ trợ và giải quyết.

Virus Rombertik xóa hoàn toàn d liu cng bng cách ghi đè MBR

Hình thc chng li s phát hin ca phn mm bo mt là 1 phương thc hoàn toàn mi. Sau khi lây nhim vào máy tính người dùng, Rombertik s chy mt lot bước kim tra chng phân tích xem có đang chy trong Sandbox (Hp cát bo v ca phn mm bo mt) ca môi trường o hay không trước khi gii mã và có nhng hành đng kế tiếp

Rombertik bt đu bng vic ghi đến 960 triu byte ngu nhiên vào b nh đ đ “làm ngp” tp tin log h thng vi 100GB d liu rác. Kế tiếp, malware này s kim tra chng phân tích xem có đang chy trong trong môi trường o hay không

Nếu không nm trong môi trường hn chế (Virtual Machine), Rombertik s gii mã, to bn sao và khi chy các lnh cn thc thi. Các lnh thc thi này không c đnh và được làm rc ri vi mt s lnh không cn thiết nhm đánh lc hướng chuyên gia bo mt phân tích, dò tìm li các bước phá hoi ca Rombertik.

Nếu phát hin đang chy trong môi trường o Sandbox, Rombertik s tìm cách truy cp và ghi đè lên MBR cng bng byte có giá tr 0 (null byte) hoc mã hóa toàn b d liu trong thư mc "C:\Documents and Settings\Administrator" vi thut toán RC4 trong trường hp không có quyn ghi lên MRB. Vic ghi đè lên MBR vi các byte giá tr 0 khiến vic khôi phc phân vùng h thng khó khăn hơn nhiu so vi ch đơn gin là xóa thông tin MBR này

Rombertik là s kết hp gia mt mã đc truyn thng dùng đ thu thp d liu cá nhân khi người dùng duyt web và cơ chế chng s phát hin ca phn mm bo mt hoàn toàn mi. Dù không có nhiu thông tin v tác gi và mc tiêu tht s ca mã đc này, tuy nhiên vi nhng k thut phc tp trên cho thy Rombertik có kh năng được s dng trong các hot đng tình báo mng và được dùng đ tn công có ch đích vào mt mc tiêu nào đó. 

Làm thế nào để tránh  Virus Rombertik xâm nhập

1.    Cài đặt phần mềm diệt virus và update thường xuyên
2.    Không được nhận mail gửi kèm từ người mà mình không biết
3.    Tuân thủ theo các chính sách bảo mật nhận và gửi email, khóa các file đính kèm

 

Nguồn tin:Theo ExtremeTech

VĂN BẢN TRỰC TUYẾN
QUẢN LÝ VB&HSCV
HỆ THỐNG QUẢN LÝ CÁN BỘ