Rombertik是一种新发现的高级恶意软件,据说在检测到时会关闭计算机。那么,Rombertik恶意软件有何特别之处,它在检测到时如何自毁?我们是否应该使用不同的反恶意软件策略来检测和隔离它?NickLewis:任何感染系统的恶意软件都有可能使计算机瘫痪,而不仅仅是Rombertik恶意软件。使用更先进的计算机,恶意软件编写者有更多方法来禁用它们。自1980年代以来,我们已经看到恶意软件使受感染的终端崩溃——重写引导扇区并使系统无法使用的恶意软件。同时,还有许多其他方法可以使终端崩溃。试图隐藏在虚拟环境中并破坏其存在证据的恶意软件需要更长的时间来检测和分析。Cisco的TalosResearchGroup发布了一篇关于新Rombertik恶意软件的博客,该恶意软件会多次检查以查看它是否正在被分析,如果被分析,它会重写主引导记录(MBR)以破坏系统。重写MBR的威胁不会对反恶意软件研究人员起到威慑作用,他们知道一个错误可能会导致系统和任何已保存的分析数据遭到破坏。更大的风险是,新手IT专业人员将尝试解决问题并删除恶意软件,可能没有意识到在调查恶意软件以及如何捕获其登录凭据时数据可能会被破坏。对于Rombertik恶意软件,应采用略有不同的反恶意软件策略来检测和隔离,但恢复受感染端点的最有效方法是重新安装系统。如果恶意软件自毁并导致系统无法启动,这将不是问题。但是,这种假设的前提是企业已经做好了备份或者数据存储在独立的系统中。企业仍然可以通过网络监控发现恶意软件,但不会阻止恶意软件的网络传播。
