Несколько дней назад в СМИ появились тревожные сообщения о новом, опасном паразите Rombertik, который безвозвратно уничтожает компьютерные диски.
Что представляет собой вирус Rombertik и как защититься от него?
Вирус Rombertik под увеличительным стеклом
Rombertik принадлежит к семейству вредителей, имеющих функцию самоуничтожения. Другими словами, червь запрограммирован так, чтобы в случае обнаружения уничтожить данные, расположенные на жестких дисках.
Как и большинство современного вредоносного программного обеспечения, Rombertik попадает на компьютеры своих жертв через электронную почту. Этот метод называется «целевой фишинг», он заключается в целенаправленных атаках на конкретное лицо. При этом используется социальная инженерия.
Вирус Rombertik скрывается в письмах в виде вредоносного PDF-файла, который на самом деле является исполняемым файлом Windows с расширением .scr. Чтобы запутать получателя, злоумышленники меняют значок файла на известный PDF или называют файл <имя.pdf.scr>. По умолчанию в настройках системы Windows отображение расширений известных файлов отключено, поэтому приставка .scr может быть невидима для пользователя.
Когда Rombertik установится на компьютере своей жертвы, начинает собирать данные для входа в систему и другую, ценную с точки зрения пользователя, информацию, в том числе конфиденциальные данные. Он также проникает в веб-браузеры Firefox, Chrome или Internet Explorer.
Оказавшись в браузере червь может скопировать данные, введенные в формы веб-сайтов даже с безопасным протоколом HTTPS, например, на веб-сайтах банков. Он делает это прежде, чем данные будут зашифрованы через этот протокол. Собранная информация передается на сервер хакеров, которые затем продают её на черном рынке.
Компьютерный вирус Rombertik оснащен защитным механизмом, затрудняющим его обнаружение и анализирование экспертами по вопросам безопасности. Обычно, компьютерные вирусы сами удаляют себя в момент обнаружения, Rombertik идет дальше. Если он обнаружит, что его вычислили с помощью антивирусного программного обеспечения, то попытается перезаписать основную загрузочную запись, так называемый Master Boot Record на жестком диске компьютера.
MBR содержит системный загрузчик и таблицу разделов, и, если он будет изменен, система не сможет запуститься, что вызывает бесконечные перезапуски. Если по каким-то причинам вирусу не удастся изменить содержимое MBR (происходит это, однако, относительно редко), от шифруются все файлы, расположенные в корневом каталоге компьютера (C:\Documents and Settings\<имя пользователя>).
Как бороться с вирусом Rombertik
Как мы выяснили, Rombertik не разрушает всю систему, он только нарушает последовательность загрузки жестких дисков. Это требует применения инструментов восстановления данных. Существует ряд программ, которые могут помочь восстановить поврежденный или удаленный MBR. Часть из них находится на установочном диске Windows.
В зависимости от объема нанесенного ущерба, в случае невозможности восстановления MBR, некоторые пользователи будут вынуждены сделать переустановку операционной системы.
Распространение вредоносных программ в виде исполняемых файлов .scr – это почти так же старо, как сам Интернет. Преступники могут также использовать файлы с расширениями .vbs, .bat, .com, а также .pif.
Если не существует явной необходимости, мы рекомендуем блокировать все подобные вложения или просто не скачивать и не открывать их. Кроме того, желательно включить отображение расширений файлов в Windows.