如何应对Rombertik恶意软件?

据说新发现的高级恶意软件Rombertik计算机在被检测时会瘫痪。Rombertik恶意软件有什么特别之处？当它被检测到时，它是如何自毁的？我们应该使用不同的反恶意软件策略来检测和隔离它吗？

Nick Lewis：感染系统后，任何恶意软件都可能使计算机瘫痪，而不仅仅是Rombertik恶意软件。对于更先进的计算机，恶意软件编写者会有更多 *** 来让其瘫痪。自1980年代以来，我们就开始看到恶意软件让受感染的终端崩溃——恶意软件会重写引导风扇区域，使系统不可用。同时，终端崩溃的 *** 还有很多。

恶意软件将试图避免虚拟环境，破坏其存在的证据。企业需要更长的时间来检测和分析这种恶意软件。Talos研究小组在其博客中介绍了新的Rombertik恶意软件，恶意软件会多次检查，以确定它是否被分析。如果确定正在分析，将重写主导指导记录(MBR)破坏系统。

重写MBR威胁对反恶意软件研究人员没有威慑作用，因为他们知道粗心大意可能会损坏系统和任何保存的分析数据。更大的风险是：IT专业新手试图解决问题并删除恶意软件，他们可能不知道如何在调查恶意软件和如何捕获登录凭证时销毁数据。

对于Rombertik恶意软件应采用稍有不同的反恶意软件策略进行检测和隔离，但恢复感染终端最有效的 *** 是重新安装系统。如果恶意软件被自毁，系统无法启动，这将不是问题。然而，这一假设的前提是，企业已经在独立系统中备份或存储数据。企业仍然可以通过监控 *** 检测恶意软件，但不会阻止恶意软件的 *** 通信。