Новый тип вредоносного программного обеспечения парализует работу компьютера при его обнаружении в ходе антивирусных проверок, нанося просто катастрофический удар своим жертвам.
Вирус, названный Cisco Systems как Rombertik, перехватывает любой, даже самый простой текст, введенный в окне браузера. Далее, в соответствии с сообщением блога Cisco’s Talos Group, датируемым этим понедельником, вирус распространяется через спам и фишинговые письма.
Rombertik легко проводит несколько серий проверок после своего запуска на компьютере под управлением Windows и продолжает действовать, определяя, детектируется ли он антивирусными программами.
Следует отметить, что такое поведение не является необычным для некоторых типов вредоносных программ, но Rombertik «уникален тем, что он достаточно активно пытается уничтожить данные на компьютере, если обнаруживает определенные следы анализа наличия вредоносных программ», — именно так описал вирус Бен Бейкер и Алекс Чиу из Talos Group.
Похожие вредоносные программы («Wiper») использовались в 2013 году в атаках против объектов, расположенных в Южной Корее, и в атаке против Sony Pictures Entertainment в прошлом году. Обе атаки приписываются американским правительством Северной Корее.
Последняя проверка Rombertik – наиболее опасная. Он вычисляет 32-битный хэш ресурса в памяти, и если этот ресурс или же время компиляции были изменены, Rombertik запускает процесс самоуничтожения.Сначала целью программы становится главная загрузочная запись Master Boot Record (MBR) в первом секторе жесткого диска ПК, которую компьютер использует для загрузки операционной системы. Если Rombertik не может получить доступ к MBR, он уничтожает все файлы в домашней папке пользователя, шифруя каждый случайным ключом RC4.
После того, как MBR или домашняя папка были зашифрованы, компьютер перезагружается. MBR попадает в бесконечный цикл, не дающий компьютеру загрузиться. На экране появляется надпись «Carbon crack attempt, failed (Попытка взлома провалилась)».
После установки на компьютере, вирус сам себя распаковывает. Около 97 процентов распакованного файла создано таким образом, чтобы сделать его похожим на реальный код. Вирус состоит из 75 изображений и 8000 ложных функций, на самом деле никогда не использующихся.
«Этот вирус пытается сделать невозможным для антивирусников просмотр каждой функции», — написал Talos.
Он также пытается избежать попадания в «песочницы», или практикует карантин на некоторое время до окончания его проверки. Некоторые вредоносные программы пытаются переждать этот период, надеясь после этого проснуться и начать действовать.
Rombertik остается активным и записывает один байт данных в память 960 млн. раз, что затрудняет анализ антивирусными программами.
«И если антивирусник в это время пытается зафиксировать все 960 миллионов записей, размер лог файла может увеличиться до 100 гигабайт,» — написал Talos.
Комментарии (59)
bukt
07.05.2015 18:54+18Мастерство заголовка.
Так и представляется окно с эррором: «Компьютер не обнаружен. Вирусная атака будет прервана!» Ну и `( A )bort/( R )echeck/( I )gnore`, конечно же.
lockywolf
07.05.2015 19:27+15В чём новость-то? Из глубины веков всплыл зловред, который не просто включает машину в ботнет, но и агрессивно пакостит?
XogN
07.05.2015 19:45+20Читая заголовок, ожидал чего то вроде второго Virus.Win9x.CIH.
Оказалось, хоть и неприятная штука, но не фатальная.
sebres
07.05.2015 21:03+13Я тоже думаю, что оно не настолько страшное, как его господин Кирк и др. малюют.
В вирусах вообще, кстати, самое интересное — не то что он делает попав на комп, это для меня всегда вторично было. Более интересен загрузчик или проще говоря способ попадания на комп. Все остальное же, ну да — дрянь завелась, ну да — время потратишь на восстановление и/или чистку — кому как нравится (один ли он завелся и всё ли нашли, что загрузилось и т.д. и т.п.).
А тенденция «научных» и около-научных статей последнее время мне и вовсе не нравится:
Ну вот не интересуют меня вирусы (чтобы они не делали) которые через вконтактик глупенькая домохозяйка скачала, запустила да еще и админские права ему дала, когда оно попросило. От слова совсем.
И почему то как раз часть про появление / распространение остается как правило за кадром, или вскользь упомянут или не правда вовсе. А это имхо — самое вкусное + таким людям как я, принципиально не пользующих «антивирусы», чрезвычайно интересно, какую дверь и где бы еще прикрыть.
В итоге ощущение: то ли двери все уже «позакрывали» (что вряд ли), то ли клепают одну вирусню для таких-вот домохозяек…
iG0Lka
08.05.2015 00:00а где бы посмотреть список дверей которые на данный момент нужно/можно запереть?
sebres
08.05.2015 00:31google?
вы вот сисадминили я вижу, сможете мне в одном комменте списочек для настройки по пунктам ну скажем сетевого сегмента?iG0Lka
08.05.2015 14:35+2давно это было… больше 10 лет назад…
но вот у себя на компе я кое какие двери прикрыл
— отнял права даже у себя на изменение системных файлов, типа explorer, ctfmon и етс т.е. те которые блокеры заражать любят.
— запретил доступ к некоторым ветвям в риестре типа ...\Winlogon
— одна папка темп, и она полностью очищается при старте системы.
антивирус не использую, только раз-два в месяц сканирую в защищенном режиме хорошим сканером.
вот думал может есть более широкий и обстоятельный список дверей…
sigmatik
15.05.2015 00:18Недавно случай был, сотруднице пришло письмо с вложением — rar архив, а нем файл с расширением scr, она конечно же запустила. Итог — зашифрованы все изображения и документы, никаких прав на изменение системных параметров или файлов вирусы не понадобилось, как защититься без антивируса, в базах которого будут записи о зловреде?
Aclz
15.05.2015 00:43И с антивирусом такая напасть не редкость, сейчас js-шифровальщиков в день по 100500 рождается, никакой антивирус не поспеет.
Рано или поздно приходит понимание, что без бэкапов никуда. И в данном случае — на отдельный сторадж, данные на котором в обычном режиме нельзя изменять, только читать и добавлять новые (или вообще только заливать, аля TFTP), а ротейтятся и пр. они каким-то механизмом сами, автономно от юзерских привилегий или даже ОС в случае внешнего стораджа, либо вручную в отдельно включаемом режиме.
sebres
15.05.2015 12:30-11) Запретить исполнять из temp чего либо.
2) «в базах которого будут записи о зловреде» доставило отдельно… Т.е. полагаться на случай? Толковая защита…sigmatik
15.05.2015 13:441. Ладно, допустим она не сразу запустила его из почтовой программы, а предварительно сохранила архив в папку на рабочем столе и распаковала там же :)
2. Имелось ввиду, что при таком сценарии помочь может только антивирус, и то только в том случае, если в его базах будет содержаться информация о конкретном вирусе конкретной версии и модификации. К слову, в течение суток антивирус Касперского абсолютно никак не реагировал на зараженный файл, и только после обновления баз он детектировал наличие вредоносного кода в файле.sebres
15.05.2015 14:031. Допустим, у группы «Чайники» не должно быть прав исполнения отовсюду, куда она может писать…
2. Я и говорю, что это просто «великолепная» защита…
при таком сценарии помочь может только антивирус
Вовсе нет, правильно настроенные полиси и права спасают здесь в гораздо большем числе случаев.
О чем я все время говорю — если бы «антивирусы» делали бы как раз это, т.е. были бы умной надстройкой над полиси и ко., например не давали бы исполнять откуда хочешь, и т.д. и т.п. (в общем стена, а не собака наоборот) — я бы сразу поставил у себя и рекомендовал бы его везде где можно.
А так, имхо, яйца выеденного не стоит такая антивирусная защита.sigmatik
15.05.2015 15:541. Вот хоть убейте, в все равно не пойму о чем вы. Запретить запуск exe из любых мест, кроме Windows и program files? Так он не exe, он scr.
sebres
15.05.2015 16:06Слышали когда-нибудь про "Software Restriction Policies"?
В GPO можно, через списки (белый или черный), ограничить каталоги, типы и т.д.
grossws
15.05.2015 19:21Это позволит запретить ворду открывать файлы? Или флешу? Или запускалке vbs/js?
sebres
16.05.2015 16:14Не все так просто, но если коротко — да, вы можете настроить полиси так, что вордовские файлы открываться будут только из my documents.
А можно настроить так, что открываться будут отовсюду, но исполнение макро там не коим образом не навредит (юзер без прав).
Кроме того вы утрируете…grossws
16.05.2015 16:22Допустим, что пользователь имеет необходимость работать с doc/xls с поддержкой макросов.
Не все так просто, но если коротко — да, вы можете настроить полиси так, что вордовские файлы открываться будут только из my documents.
Пользователь для исполнения рабочих обязанностей будет иметь право на запись туда. И сможет записать туда документ полученный по почте. И открыть.
Далее через какую-нибудь уязвимость движка vba атакующий может получить возможность исполнить нативный код в адресном пространстве word/excel, запущенном от имени пользователя.
исполнение макро там не коим образом не навредит (юзер без прав).
Далее берется очередная уязвимость, дарующая повышение привилегий и получены права локального администратора.
В итоге, такой же вектор атаки, как использовался ранее.sebres
17.05.2015 14:35+1Иии...? Как от всего этого спасет антивирус?
Т.е. уязвимость движка vba неизвестна… уязвимость повышающая привилегии тоже… Но антивирус — он все знает-может.grossws
17.05.2015 14:50Причём здесь антивирус? Мы говорили про SRP и я утверждал, что SRP не закрывает стандартные вектора атаки по документам и скриптам.
Они (SRP) могут закрыть вектора по бинарным файлам. Интересно, позволяют ли закрыть возможность использования аналога dlopen (загрузки динамических библиотек) по неразрешенным путям (т. е. можно ли запретить пользователю загружать dll из недоверенных мест).
Кроме того антивирусный сканер работает на сигнатуры и сигнатурные эвристики, а не на уязвимости. И запросто может пропускать не-0day (а я нигде не утверждал, что необходимо использовать 0day). И не пропускать их известные реализации (эти случаи закрываются антивирусом, но остаются доступными при использовании только SRP).
Резюмируя, SRP+антивирус лучше чем просто антивирус или SRP, что в свою очередь лучше, чем ничего. Лучше в плане защиты, но не удобства, естественно.sebres
17.05.2015 19:30Причём здесь антивирус?
Вы ветку-то гляньте, куда влезали…
Мой ответ про SRP был всего лишь на вопрос как быть с тем «scr» файлом.
Кроме того антивирусный сканер работает на сигнатуры и сигнатурные эвристики, а не на уязвимости.
Прописные истины, и кстати, про эвристики и сигнатуры я бы не стал так громко тут… Я вам простой пример приведу: выловил как-то у знакомца зловред (типа локальной прокси), антивир его не видел, да и по определению не мог бы, потому что видимо его downloader (кстати по логам судя тоже не вычищенный, но я его не нашел) специально для этой машинки собрал, ну или упаковал. Взял домой, он в виртуалке подвисал в смерть. А в softice доковылял до самораспаковки по разным uid + еще чего-то там. После уже год спустя проверял его virustotal-ем — ни один так и не сказал что вирус.
Ну а про то, что сегодня любой школьник на коленке может написать чудо, некоторое, иногда довольно долгое время, ни одним антивирусом не детектирующееся, я устал уже говорить.
Резюмируя, SRP+антивирус лучше чем просто антивирус или SRP
С этим трудно поспорить (хотя мог бы), тем более в рамках комментария — скорее это тема отдельной статьи.
Свое же отношение к (современным) антивирусам неоднократно уже высказывал, ну хотя бы тут или тут. Двумя словами — «распиаренное барахло».
DanXai
15.05.2015 14:12Был аналогичный случай на предыдущей работе (после моего увольнения). Внутри архива был архив с scr файлом, текст письма — что-то про FAX на английском. Все файлы, в т.ч. и в дропбоксе, оказались зашифрованы.
teecat
08.05.2015 12:01Все давно расписано:
1. исполнение неразрешенных файлов
2. разрешение на доступ туда, где пользователю делать нечего
3. не работать под рутом
4. по возможности использовать не самые распространенные продукты (хотя это палка о двух концах)
5. запрет на посещение сайтов с рабочих машин
А вот что действительно проблема — список рисков по вероятности заражаемых мест. Чего не видел, того не видел
teecat
08.05.2015 11:57Была как-то статистика, что 25% вирусов делают люди до 14 лет. А с распространением плохо потому, что на анализ приходит не только с ловушек фирмы, но и по обмену или от пользователей по типу «вот нашли». А как оно к ним попало… Причем зачастую от пользователей и поступают самые интересные образцы. В итоге новость делать нужно, а как проникло — не ясно. А уже потом, когда продукт все ловит — никто не смотрит, каким компонентом перехватывается. Да и в силу наличия линейки продуктов статистика будет смазанная
sebres
08.05.2015 14:01А как оно к ним попало…
при активном антивирусе…
Вот поэтому я и говорю, что антивирус — собака наоборот («не пускает» только тех кого знает, что он плохой, а все остальные белые и пушистые).
Имхо, в корне неверная позиция. Я про то, что если бы вместо такой «неправильной» собаки была бы крепостная стена, а те кто прыгают через стену, с великого позволения админа, или под микроскоп и слежка на все время жизни. Или политиками, да в песочницу. Что так, что так не панацея, но работы и проблем админам меньше, да и спать будут спокойней. А собака — пусть будет, но как и в жизни пускать только известных как «свой» или «хороший».
Меня вот всегда ужасно интересовал вопрос — если вдруг какая компания создаст таки такого действительно «умного» антивируса, как долго (на одном маркетинге) протянут остальные?
Оно как-то вроде движется в том направлении, но то не совсем туда завернем, то упор не там сделаем. В общем стены как не было так и нет.
Например, эвристика (у кого-то ну дрянь же — дрянью). Я вот год назад микро дэ-эль-эль-ку (dll) одну скомпилировал, hook для app-servera позволяющий упростить удаленную отладку и профайлинг скриптового языка.
Во первых, при попытке загрузки ее в приложение, антивирус ругнулся на какой-то там (забыл уже, но что-то из эвристического анализа), и dll была удалена. Во вторых, она уже больше не собиралась vc (кстати даже дебажная версия).
Что имеем (почему таки, дрянь эвристика была):
- та же dll, скомпилированная bcc или gcc из тех же исходников, прекрасно создавалась и грузилась в приложение;
- указав линкеру vc создавать hook.bpl вместо hook.dll все тоже прекрасно вылечилось (даже загрузка ее в апп-сервер);
- сама dll тупа до ужаса и использовала исключительно api из application server (который по понятиям эвристики хороший).
- по линку из антивирусной базы узнал, что эта конкретная эвристика должна отрабатывать только файлы, юзающие winsocks. Эта же dll ничиго такого не делала, она по реакции на определенные события грузила другую большую dll (которая хоть и с winsocks, но была достаточно хороша, для той эвристики т.е. не удалялась);
- ну и до кучи — все это происходило в каталоге, судя по установкам, исключенном из real time scanning
Какого хрена, спрашивается…teecat
08.05.2015 14:21Эвристика знает только то, что знает. Известное поведение, известные типы и тд. Именно поэтому тесты на эвристику — профанация. Против действительно новых вирусов эвристика не спасет
А 100% антивирус… С учетом, КАКИЕ деньги крутятся в криминальном бизнесе — я думаю их отстрелят или засудятsebres
08.05.2015 16:38Известное поведение, известные типы и тд.
Вы смеетесь? Я жеж написал — та же dll, собраная другим компилятором/линкером, или тем же но тупо под другим именем, т.е. имеющая однозначно такое же поведение — прекрасно выживала!teecat
08.05.2015 16:55+1Так я и говорю — выбилась за рамки модели и все. Тут же проблема в том, что мы не можем расширять границы эвристики — мгновенно растут ложные срабатывания.
jab
15.05.2015 19:58У меня во времена оны был супер-пупер файл reboot.com из пяти байт. На него постоянно срабатывала эвристика.
Думаю, тоже случайное совпадение.
Goodkat
07.05.2015 20:06+1А в чём катастрофичность-то?
Вирус уничтожает данные и систему при попытках обнаружения, чем сразу выдаёт себя.
Установил систему заново, накатил вчерашний бэкап пользовательской папки, прогнал антивирусом — делов на час-два.
Вот если бы он незаметно понемногу портил данные, которые в таком виде попадали бы в бэкап, или убивал бы BIOS/UEFI, это было бы катастрофично.VioletGiraffe
07.05.2015 20:35+3Исключительно из любопытства поинтересуюсь: а вы забэкапили весь домашний жёсткий диск? На работе-то, понятно, проблемы не будет, а вот дома это была бы почти что катастрофа.
Goodkat
07.05.2015 21:10На работе-то, понятно, что у вируса не будет даже возможности запуститься — какой же сисадмин разрешит пользователям запускать выполнимые файлы из не защищённых от записи папок?
Дома бэкапится весь внутренний диск и внешний, когда подключен. Хотя это лишнее, на самом деле — нужно регулярно инкрементально бэкапить лишь пользовательские папки, а операционную систему и установленные программы достаточно бэкапить после установки новых программ и крупных обновлений ОС.
P.S.
Я фанат бэкапов, да :)
Однажды у меня умер диск со всеми моими наработками, так что я потерял все исходники, остались лишь бинарники у друзей и на файлопомойках. У меня и ноутбук, и смартфоны, и планшеты бэкапятся ежедневно :)
А важные папки типа семейной фотоколлекции ещё и на внешних дисках записаны, вдруг бэкапы сломаются? :)VioletGiraffe
07.05.2015 21:22На работе я сам себе сисадмин, поэтому никто не ограничивает мои возможности выстрелить себе в ногу, гг. А вот дома… Наработки-то мои все так или иначе в интернете, программы можно переустановить (хоть и очень лениво ставить и настраивать), а вот коллекция музыки, книг, сейвы к разным играм (последнее я иногда бэкаплю, но не слишком часто)… Не буду же я бэкапить терабайты моей музыкальной коллекции? А потерять жалко.
Goodkat
07.05.2015 21:41+1Для музыкальной коллекции есть облако, но на всякий случай у меня полная копия лежит ещё и на NAS-е — облакам я тоже не особо доверяю :)
Сэйвы к играм, как и книги, полезнее не бэкапить, а синхронизировать, чтобы можно было играть/читать с разных мест — часто лень идти в другую комнату ради какой-то игры или книги, проще скачать её заново не вставая с дивана :)
mcdebugger
10.05.2015 20:12@Godkat, уважаю таких параноиков, как Вы. Однажды тоже потерял много ценных для себя данных, с тех пор стараюсь делать пусть не автоматические, но хотя бы периодические бэкапы на внешний диск проектной или домашних директорий. Под кои кстати дополнительно хочу приобрести и парочку более надёжных чем сейчас имеются дисков, да в RAID 1 их закидать :)
sebres
07.05.2015 21:25на самом деле — нужно регулярно инкрементально бэкапить лишь пользовательские папки...
Самое главное, что это все желательно прикрыть паролем или ключиком приватным. Или организовать блокирование записи каким-нибудь сервисом к уже однажды записанным бакапам (для бакап юзера)…
А-то ведь зловред тоже может что туда «инкрементально» написать. :)
Ну и к сожалению, от чего точно не спасет бэкап — от кражи данных, паролей и т.д. Если тот же пароль пэйпала и иже с ним (от мыла например) уведут… Тоска.iG0Lka
08.05.2015 00:05почему тоска если пароль от пайпала уведут? у меня например к пайпалу подключена карточка, на которой всегда не больше 5$.
необходимую сумму для покупки кидаю на неё перед самой покупкой…sebres
08.05.2015 00:35Ну да, как вариант. А по теме, слово «например» вы видимо принципиально не заметили?
n3d15
07.05.2015 21:25+11Вы серьезно? Затирание MBR == выведение ЭВМ из строя?
sebres
07.05.2015 21:28перевод же, а заголовок почти дословный (pcworld такой pcworld)…
n3d15
07.05.2015 21:35+7Очередная желтизна от PCWorld… Хотя знаете, если бы в заголовке было «Новый вирус, затирающий MBR при его обнаружении» я бы не прочитал новость. А так стало интересно. Что же такого «страшного» он может сделать. Для полноты эффекта не хватает префикса «ШОК! Сенсация!».
enakenenaken
07.05.2015 22:19+7Я думал, он материнку сжигает или БП. Ну или пускает из системного блока «густой чёрный дымок». Заголовок, конечно, жесть. Примечателен он ещё тем, что его можно двояко трактовать.
shuvaevgl
07.05.2015 23:36-3Коллеги Хабровцы, а представьте, что такой вирус попадет в доменную сеть и обойдет все политики, ограничения и антивирусы? А домен на несколько офисов в разных городах, с тысячей компов в каждом.
Бэкапы, скажете Вы?
А просто восстановление из бэкапов сколько времени займет?
А если бэкапы будут зашифрованы случайным ключом?
Лично я, после одного шифрования, делаю три копии и храню их до года :)enakenenaken
07.05.2015 23:51+1<<обойдет все политики, ограничения и антивирусы..
Надо было статью назвать «Скайнет атакует».
amarao
07.05.2015 23:54+1А представьте себе вирус, который обойдёт все законы физики!
Каким образом какой-либо код сможет «обойти» доменные политики? Отсутствие RSP — может быть. Но политики… Нет.shuvaevgl
07.05.2015 23:55То, что придумал один человек-другой завсегда сломать сможет!
Один умный человек самую важную информацию всегда только на бумаге хранил и не светил на компьютере.
vlivyur
08.05.2015 09:57а представьте
Хорошо. Хорошо что я программист. Жалко только что статьи об мы здесь вряд ли увидим. И лицо админа, обнаружившего такое утром.
akirsanov
08.05.2015 06:00Очередная страшилка. Уже поднадоели маркетологи с высасыванием инфоповодов из пальца.
babikov
08.05.2015 10:02Заголовок прочитал — испугался, прочитал статью — успокоился. Чернобыль пережили.
Кстати, какие пути распространения вируса?
achekalin
08.05.2015 10:51Судя по заголовку, «Новый вирус, выводящий из строя компьютер при его обнаружении» — вирус выводит ПК при обнаружении этого ПК. Понимаю, что заголовок хотелось сделать покороче, но звучит как-то… желто и неграмотно, что ли. Напишите лучше «при своем обнаружении», меньше коллизий будет.
«Проходя по мосту, с меня слетела шляпа» :))
parol Автор
08.05.2015 11:33Исправил. Кстати оригинальный заголовок гораздо желтее, что-то вроде «Этот ужасающий вирус уничтожит ваш компьютер, если будет обнаружен»
sebres
08.05.2015 12:09Так вы бы его не только граматически поправили, и было бы сразу счастье… Вы думаете по какой причине вам столько минусов набросали… Да, понимаю — перевод, но все же… это хабр.
teecat
08.05.2015 12:28+11. При всем уважении к компании Cisco Systems — она не антивирусный вендор. Ужасы от компании — неантивирусного вендора не принимаются
2. У Dr.Web это чудо называется Trojan.Rombertik.1. В связи с поднимающейся паникой будет скоро описание. Если интересно Хабровцам — закину ссылку
3. И да. Обнаруживаем и лечим. Тихо подозреваю, что ведущие антивирусы поступают также
pehat
Так вирус все-таки шифрует данные или просто пишет мусор? Почему он ничего не вымогает, если шифрует?
Onthar
Шифровать он начинает в случае попыток анализа, чтобы нагадить, я пологаю. Основной его функционал все таки — перехват пост-запросов из браузеров.
blogs.cisco.com/wp-content/uploads/wireshark-wm.png
Regis
Так зачем шифровать, если нужно превратить файлы в мусор? RND им не подошел? )