Rombertik: Ένα νέο κακόβουλο λογισμικό που κατασκευάστηκε για να υποκλέπτει τα διαπιστευτήρια των θυμάτων του αναπτύσσει παράλληλα πολύ καταστροφικές συμπεριφορές στον υπολογιστή που προσβάλει για να αποφεύγει τα εργαλεία ανάλυσης που συμπεριλαμβάνουν συνήθως τα antivirus.
Εάν και το malware δεν καταστρέφει τον υπολογιστή κατά τη διάρκεια της εγκατάστασης του, τοποθετεί τον εαυτό του σε όλους σχεδόν τους γνωστούς browsers, (Internet Explorer, Chrome και Firefox), και καταγράφει κάθε κίνηση του θύματος από κάθε ιστοσελίδα που επισκέπτεται.
Τα δεδομένα που συλλέγει πριν να κρυπτογραφηθούν από το πρόγραμμα περιήγησης στο Web, παραδίδονται στον server διοίκησης και ελέγχου (C & C) μέσω HTTP.
Οι αναλυτές Malware της Talos Group από την Cisco Systems, που απομόνωσαν ένα δείγμα του malware, το ονόμασαν Rombertik. Προσπάθησαν να το ανακατασκευάσουν για να προσδιορίσουν όλες τις λειτουργίες που περιέχει για να μπορεί να παρακάμπτει κάθε στατική αλλά και δυναμική ανάλυση.
Ένας από τους τελικούς ελέγχους που εκτελεί το Rombertik για να βεβαιωθεί ότι διαφεύγει την ανίχνευση είναι η δημιουργία ενός hash στη μνήμη του συστήματος το οποίο συγκρίνει με την αποσυμπιεσμένη έκδοση του.
Αν ανακαλύψει κάποια διαφορά στους χρόνους του compilation εξαπολύει καταστροφικές συμπεριφορές, και σαν πρώτη κίνηση καταστρέψει την κύρια εγγραφή εκκίνησης (MBR) του υπολογιστή. Αμέσως μετά ξεκινά την κρυπτογράφηση των αρχείων του χρήστη.
Το MBR είναι ένας τομέας εκκίνησης που υπάρχει στην αρχή ενός σκληρού δίσκου, και είναι υπεύθυνος για τη διατήρηση των πληροφοριών όλων των διαμερισμάτων που υπάρχουν στον υπολογιστή καθώς και των δεδομένων που διαθέτουν.
Έτσι αφού το Rombertik καταστρέφει το MBR, ο υπολογιστής αρχίζει να κάνει συνεχείς επανεκκινήσεις και εμφανίζει μηνύματα σφάλματος.
Οι ερευνητές αναφέρουν ότι τα bytes που περιέχουν πληροφορίες για τα διαμερίσματα του δίσκου αντικαθιστώνται με μηδενικά bytes, κάτι το οποίο καθιστά την ανάκτηση των δεδομένων μια πολύ δύσκολη διαδικασία.
Η διαδικασία κρυπτογράφησης, που ακολουθεί μετά την καταστροφή του MBR, ολοκληρώνει την καταστροφή του υπολογιστή, αφού κάθε αρχείο είναι κλειδωμένο ξεχωριστά με ένα κλειδί RC4 που δημιουργείται τυχαία.
Η ανάλυση του κακόβουλου λογισμικού αποκάλυψε ότι οι δημιουργοί του προσπάθησαν να μην χρησιμοποιήσουν παλιό κώδικα που συνήθως περιέχει σκουπίδια. Αναφέρουν επίσης ότι σε πάνω από το 97% του κώδικα δεν υπάρχουν κακόβουλα ίχνη.
Επίσης ενδιαφέρουσα είναι η τεχνική που χρησιμοποιείται από το Rombertik πριν από την αποσυμπίεση του για να ξεγελάσει τα εργαλεία sandbox που υπάρχουν σε προϊόντα προστασίας από ιούς. To malware καθυστερούσε την εκτέλεσή του με το γράψιμο ενός τυχαίου byte στη μνήμη του συστήματος 960 εκατομμύρια φορές.
Η συνέπεια αυτής της συμπεριφοράς είναι η παράκαμψη του χρόνου αναμονής του κάθε sandbox. Ωστόσο, η ενέργεια αυτή κάνει flood και στα εργαλεία εντοπισμού των antivirus αφού για να καταγράψουν τη δραστηριότητα θα πρέπει να δημιουργήσουν ένα log file μεγέθους 100GB και θα θα χρειαστούν περισσότερο από 25 λεπτά για να το γράψουν στο δίσκο.