Jump to content

Ромбертик

Rombertik — это шпионское ПО, предназначенное для кражи конфиденциальной информации у целей, использующих Internet Explorer, Firefox или Chrome, работающих на компьютерах под управлением Windows. [1] Впервые об этом сообщили исследователи из Cisco Talos Security and Intelligence Group.

Операция

[ редактировать ]

Ромбертик использует несколько методов, которые затрудняют анализ или реверс-инжиниринг. Более 97% файла представляет собой ненужный код или данные, которые могут сбить с толку аналитиков. Он повторяет код сотни миллионов раз, чтобы задержать выполнение, и проверяет имена файлов и имена пользователей, используемые песочницами анализа вредоносных программ .

Если Rombertik обнаруживает изменение во времени компиляции или двоичном ресурсе в памяти, он пытается перезаписать главную загрузочную запись (MBR) на основном жестком диске. [2] MBR содержит код, необходимый для загрузки операционной системы, а также информацию о том, где на жестком диске хранятся разделы. Хотя данные пользователя остаются на жестком диске, операционная система не может получить к ним доступ без MBR. В некоторых случаях возможно восстановить данные с жесткого диска с модифицированной MBR. [3]

Если вредоносная программа не имеет необходимых разрешений для перезаписи MBR, она вместо этого шифрует каждый файл в домашнем каталоге жертвы. Этот метод шифрования каталогов похож на программы-вымогатели , но Rombertik не пытается вымогать деньги у своих жертв. Файлы, зашифрованные надежным ключом, практически невозможно восстановить. [4]

Ps установлен, он внедряет код в запущенные процессы Internet Explorer, Firefox и Chrome. Внедренный код перехватывает веб-данные до того, как они будут зашифрованы браузером, и пересылает их на удаленный сервер. [1]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б «Обзор угроз: Ромбертик» . Блоги Cisco. 4 мая 2015 г.
  2. ^ «Самоуничтожающийся вирус убивает компьютеры» . Новости Би-би-си. 5 мая 2015 г.
  3. ^ «Концепции восстановления разделов» . Программное обеспечение для активного восстановления данных . Проверено 8 мая 2015 г.
  4. ^ Лемос, Роберт (13 июня 2008 г.). «Программы-вымогатели противостоят попыткам взлома криптовалюты» . БезопасностьФокус.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Rombertik&oldid=1224402214"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: a2c68b10445a07b2f404fc595fb8df7c__1715999040
URL1:https://arc.ask3.ru/arc/aa/a2/7c/a2c68b10445a07b2f404fc595fb8df7c.html
Заголовок, (Title) документа по адресу, URL1:
Rombertik - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)