Phần mềm độc hại này là mẫu mã độc duy nhất có khả năng tự hủy với các kỹ thuật độc đáo của nó. Ngay khi phát hiện công cụ phân tích bất kỳ, Rombertik sẽ cố gắng xóa Master Boot Record (MBR) của thiết bị và các thư mục bên trong, khiến máy tính ngay lập tức phải khởi động lại. Nói cách khác, Rombertik chính là một phần phức tạp trong các phần mềm gián điệp, được thiết kế để thu thập mọi thông tin, dữ liệu từ người dùng trực tuyến. Từ đó, thu thập thông tin đăng nhập và các thông tin bí mật khác của nạn nhân.
 
Rombertik thường được cài đặt trên các máy chứa lỗ hổng, sau khi người dùng nhấp chuột vào các file đính kèm chứa trong email lừa đảo. Sau khi xâm nhập hệ thống máy tính, Rombertik sẽ chạy một loạt các kiểm tra chống phân tích để xác định nếu nó đang khởi chạy trong một sandbox. Trong trường hợp không chạy trong sandbox, Rombertik sẽ giải mã và tự cài đặt trên máy tính nạn nhân, sau đó cho phép phần mềm độc hại khởi tạo một bản sao thứ hai của chính nó và ghi đè lên nhằm thực hiện chức năng gián điệp.
 
Sau khi hoàn thành quá trình này và trước khi bắt đầu thực hiện gián điệp trên người dùng, Rombertik sẽ chạy một lượt kiểm tra cuối cùng để đảm bảo nó không bị phân tích trong bộ nhớ. Trong trường hợp tìm thấy bất kỳ dấu hiệu nào đang bị phân tích, phần mềm này sẽ cố gắng tiêu diệt MBR của máy tính, nhằm xóa dấu vết. Khi đó, MBR đã bị xóa mất khỏi ổ cứng và máy tính của nạn nhân sẽ khởi động lại liên tục và không thể dừng quá trình này lại được.

MBR chính là sector đầu tiên của ổ đĩa cứng máy tính mà hệ thống tìm kiếm
trước khi nạp hệ điều hành. Tuy nhiên, việc xóa hoặc phá hủy MBR liên quan
đến việc tải cài đặt của hệ điều hành, có nghĩa là dữ liệu có giá trị nhất đã bị mất.
Bất cứ khi nào Rombertik có nguy cơ bị phân tích và phát hiện, nó sẽ tự hủy,
 kèm theo đó là nội dung của ổ đĩa cứng máy tính cũng biến mất theo.

 
Sau khi đối chiếu thiết kế của các phần mềm độc hại, các nhà nghiên cứu nhận ra rằng Rombertik chứa khối lượng lớn các mã rác cần được phân tích. Các mẫu Rombertik giải nén 28KB lưu lượng trong khi phiên bản đóng gói là 1264KB, bao gồm 75 file hình ảnh và 8 nghìn file chức năng không bao giờ sử dụng tới. Hơn nữa, Romnertik lưu giữ bản thân trong sandbox bằng cách việt một byte dữ liệu ngẫu nhiên vào trong bộ nhớ 960 triệu lần nhằm tránh bị phát hiện.
 
Cách tốt nhất để hệ thống của mình không bị lây nhiễm mã độc đó là người dùng cần lưu ý không nhấp chuột vào bất kỳ liên kết độc hại hay có nghi ngờ không an toàn thông qua các email lừa đảo. Khi gặp các vấn đề về mã độc cần liên hệ ngay với cá chuyên gia ANM, các dịch vụ ứng cứu máy tính để được hỗ trợ và giải quyết.

Hình thức chống lại sự phát hiện của phần mềm bảo mật là 1 phương thức hoàn toàn mới. Sau khi lây nhiễm vào máy tính người dùng, Rombertik sẽ chạy một loạt bước kiểm tra chống phân tích xem có đang chạy trong Sandbox (Hộp cát bảo vệ của phần mềm bảo mật) của môi trường ảo hay không trước khi giải mã và có những hành động kế tiếp

Rombertik bắt đầu bằng việc ghi đến 960 triệu byte ngẫu nhiên vào bộ nhớ để để “làm ngập” tập tin log hệ thống với 100GB dữ liệu rác. Kế tiếp, malware này sẽ kiểm tra chống phân tích xem có đang chạy trong trong môi trường ảo hay không

Nếu không nằm trong môi trường hạn chế (Virtual Machine), Rombertik sẽ giải mã, tạo bản sao và khởi chạy các lệnh cần thực thi. Các lệnh thực thi này không cố định và được làm rắc rối với một số lệnh không cần thiết nhằm đánh lạc hướng chuyên gia bảo mật phân tích, dò tìm lại các bước phá hoại của Rombertik.

Nếu phát hiện đang chạy trong môi trường ảo Sandbox, Rombertik sẽ tìm cách truy cập và ghi đè lên MBR ổ cứng bằng byte có giá trị 0 (null byte) hoặc mã hóa toàn bộ dữ liệu trong thư mục "C:\Documents and Settings\Administrator" với thuật toán RC4 trong trường hợp không có quyền ghi lên MRB. Việc ghi đè lên MBR với các byte giá trị 0 khiến việc khôi phục phân vùng hệ thống khó khăn hơn nhiều so với chỉ đơn giản là xóa thông tin MBR này

Rombertik là sự kết hợp giữa một mã độc truyền thống dùng để thu thập dữ liệu cá nhân khi người dùng duyệt web và cơ chế chống sự phát hiện của phần mềm bảo mật hoàn toàn mới. Dù không có nhiều thông tin về tác giả và mục tiêu thật sự của mã độc này, tuy nhiên với những kỹ thuật phức tạp trên cho thấy Rombertik có khả năng được sử dụng trong các hoạt động tình báo mạng và được dùng để tấn công có chủ đích vào một mục tiêu nào đó. 

Làm thế nào để tránh  Virus Rombertik xâm nhập

1.    Cài đặt phần mềm diệt virus và update thường xuyên
2.    Không được nhận mail gửi kèm từ người mà mình không biết
3.    Tuân thủ theo các chính sách bảo mật nhận và gửi email, khóa các file đính kèm

Các tin khác

• Cảnh báo tấn công mã độc quy mô lớn nhắm vào Việt Nam [13/11/2019]
• Tìm hiểu về IPv6 [27/09/2019]
• Hệ thống thông tin phục vụ họp và xử lý công việc của Chính phủ (e-Cabinet) chính thức được khai trương đưa vào hoạt động. [24/06/2019]
• Thiết bị lưu trữ dữ liệu NAS- Giải pháp lưu trữ an toàn, khoa học [24/06/2019]
• Tìm hiểu về các giải pháp lưu trữ dữ liệu [19/06/2019]
• Microsoft cảnh báo 1 triệu máy tính chưa vá lỗ hổng bảo mật Windows [04/06/2019]
• Quân đội Trung Quốc sẽ bỏ Windows, dùng hệ điều hành tùy biến 'của nhà trồng được' [31/05/2019]
• Quy trình phát triển phần mềm [04/05/2019]
• Hướng dẫn sử dụng phần mềm thay đổi thuộc tính file và thư mục Attribute Changer [02/05/2019]
• 5 công cụ giám sát cơ sở hạ tầng CNTT tốt nhất [21/03/2019]
• Những điều cần biết về mã độc Ransomware WannaCry đang được cảnh báo trên toàn cầu [18/03/2019]
• Chính phủ phê duyệt Chiến lược phát triển thông tin quốc gia đến năm 2025, tầm nhìn 2030. [26/02/2019]
• Bộ TN&MT: Có đột phá trong ứng dụng công nghệ thông tin [11/10/2018]
• Ngành TN&MT: Ứng dụng công nghệ thông tin để kết nối toàn Ngành [15/08/2018]
• Xác định Việt Nam ở đâu để làm cách mạng công nghiệp 4.0 [13/07/2018]