Digital Life
05.05.2015

Malware löscht Festplatte, wenn sie aufgespürt wird

Die Malware Rombertik zeichnet sensible Daten auf und zerstört danach unter Umständen den gesamten Festplatteninhalt.

Sicherheitsforscher von Ciscos Talos Group haben eine neue Art Malware entdeckt, die offenbar mit allen erdenklichen Mitteln verhindern will, dass sie aufgespürt und analysiert wird. Die Software, die den Namen Rombertik bekommen hat, zeichnet demnach das Surf-Verhalten auf dem Computer auf, der damit infiziert ist.

Mitgeloggt werden dabei neben persönlichen Daten wie Adressen und Zahlungsinformationen auch Login-Daten wie Nutzernamen und Passwörter. Sobald die Software erkennt, dass sie analysiert wird, leitet sie einen Selbstzerstörungsmechanismus ein, der gleichzeitig die gesamte Festplatte des betroffenen Computers löscht, wodurch er nicht mehr funktionsfähig ist bzw. hochfahren kann.

MBR als Ziel

Konkret versucht Rombertik laut einem entsprechenden Blog-Eintrag in einem ersten Schritt den Master Boot Record (MBR) zu überschreiben. Gelingt ihm das aufgrund fehlender Rechte nicht, verschlüsselt er stattdessen den Home-Folder des angemeldeten Nutzers mit einer zufällig generierten Passphrase und startet den Computer neu.

Gelingt der Malware, den MBR zu überschreiben, ist die Datenrettung unter Umständen nur sehr schwer möglich, da jener auch die Partitionstabelle enthält.

Verbreitet wird die Malware vorwiegend per E-Mail, wo das schadhafte File sich als vermeintlich harmloses Attachment tarnt.