Cisco Talos Security Intelligence and Research Group har oppdaget en ny Windows-skadevare som kalles Rombertik.
Rombertik er mer hensynsløs enn skadevare flest, da den straffer brukeren dersom den oppdager at noen forsøker å analysere eller debugge den. Dette skjer ved at den overskriver oppstartssektoren, Master Boot Record (MBR), til den første lagringsenheten i pc-en, PhysicalDisk0. Deretter startes systemet på nytt. Istedenfor at operativsystemet lastes, vises da en enkel melding med teksten «Carbon crack attempt, failed».
Dersom Rombertik ikke får tilgang til å skrive over MBR, noe som er fullt mulig å blokkere, vil den i stedet kryptere alle de personlige filene i brukerens hjemmemappe ved hjelp av en virkårlig generert RC4-nøkkel.
Hensikten med dette er å få offeret til å betale for en nøkkel som kan låse opp filene igjen. Men det er ingenting som tyder på at brukere som rammes av Rombertik på denne måten, vil kunne kjøpe tilgang til filene igjen. De må bare håpe at sikkerhetskopieringen av filene har fungert.
– Selv om Talos også tidligere har observert anti-analyse- og anti-debuggingsteknikker i skadevare, er Rombertik unik ved at den aktivt forsøker å ødelegge datamaskinen dersom den oppdager attributter knyttet til skadevareanalyse, skriver Talos Group.
Utviklerne av Rombertik har forsøkt å gjøre jobben så vanskelig som mulig for skadevareanalytikere ved å begrave den egentlige funksjonaliteten i en mengde ubrukt funksjonalitet.
Den inneholder blant annet mer enn 8000 ubrukte funksjoner, utfører 960 millioner skriveinstruksjoner og forsøker å omgå sandkasser ved å ligge i dvale i lang tid.
Les mer om Rombertik her.
Kilde og artikkel i sin helhet: www.digi.no