Secu
Rombertik, le virus qui détruit les PC
Par La rédaction, publié le 07 mai 2015
Rombertik est le nom d’un virus plutôt virulent circulant sur Internet. Particulièrement dangereux, il infeste les ordinateurs via un e-mail d’hameçonnage, un fichier PDF corrompu, notamment.
Une fois dans le système, le virus fait d’abord un état des lieux, de façon à s’assurer qu’il n’est pas dans une sandbox (ce qui limiterait son champ d’action), puis se dissimule dans les entrailles du PC. Discrètement installé, il s’attelle alors à remonter des informations personnelles en espionnant la navigation Internet par exemple, y compris de sites HTTPS.
Sa particularité est de surveiller en parallèle s’il n’est pas lui-même surveillé. En cas de détection de sa présence, il se défend en inscrivant aléatoirement plus de 960 millions de fois des données. Conséquence : la machine s’en trouve considérablement ralentie ce qui réduit les chances de l’antivirus de mettre la main dessus.
Rombertik attaque le MBR
Plus malicieux encore : alors qu’il laisse la version détectée se faire observer, il se réplique pour aller se cacher ailleurs et continuer de contaminer le poste de travail.
Mais s’il est découvert, il devient alors très agressif. Rombertik s’en prend directement au disque dur, en attaquant le Master Boot Record (MBR) et en corrompant la table des partitions. Sinon, il chiffre tous les fichiers personnels à sa disposition avec une clé RC4 aléatoire ou efface toutes les données… La machine finit par redémarrer sans pouvoir booter sur une session Windows. L’ordinateur est pris dans une boucle sans fin et devient alors totalement inutilisable.
La meilleure solution pour s’en prémunir reste l’utilisation de systèmes de défense prédictifs et des solutions automatisées de réponses aux menaces venant localiser et bloquer l’exfiltration de données.
