Au départ, rien ne distingue Rombertik d'autres malwares plus communs. Il se faufile à travers les boîtes mail, les armes traditionnelles que sont spam et phishing étant inévitablement les vecteurs de propagation privilégiés. Mais une fois la pièce jointe ouverte par l'utilisateur (qui peut prendre la forme d'un fichier PDF, ou d'un fichier compressé), c'est le drame.
Car ce malware redoutable dispose de plusieurs cordes à son arc. Naturellement, il va tenter de récupérer des données sensibles en surveillant ce que vous saisissez au clavier, puis envoyer ces informations aux auteurs de ce code malicieux. Mais là n'est pas la particularité de ce programme.
Une fois installé, vos données et votre système sont perdus
Ce dernier se distingue plutôt par sa capacité à se protéger et par la politique de la terre brûlée qui est la sienne. Après que le code est exécuté, le malware va commencer par vérifier s'il fonctionne à l'intérieur d'une sandbox, sorte de système virtuel prévu pour éviter la propagation.Lorsque ce contrôle de routine est effectué, il va se déployer et vérifier qu'il ne fait pas l'objet d'une analyse mémoire. Si tel est le cas, il s'attaque au MBR du support de stockage de la machine, de sorte à rendre le système inopérant. S'il n'y parvient pas, il va s'atteler à chiffrer les fichiers de l'utilisateur, puis redémarrer la machine, qui ne parviendra jamais à afficher de nouveau Windows. Pourquoi ? Parce que Rombertik aura pris soin d'exécuter un code avant le lancement du système d'exploitation de sorte à créer une boucle infinie.
Si le malware échappe à l'analyse mémoire, le PC évite ces dommages. Mais ces derniers arriveront tout de même dès lors qu'un antivirus aura entrepris un scan de la machine. Scan qui sera par ailleurs ralenti par la quantité faramineuse d'information que produira Rombertik. Ce malware est créé pour tromper les moteurs d'analyse, puisqu'il est composé en grande partie de code inutile et de données factices.
Finalement, Rombertik est conçu pour leurrer les antivirus et gagner suffisamment de temps pour récolter un maximum de données. Une fois compromis, il ne laisse rien sur son passage.
Un MBR se récupère, et une sauvegarde de vos données pourra vous permettre de rétablir votre système comme il était avant l'arrivée de ce monstre. Mais le plus simple est probablement d'éviter de cliquer sur une pièce jointe placée dans un email dont vous ne connaissez pas l'expéditeur.
