Összefoglaló
A RedBoot ransomware a szakértők szerint egy ransomware-nek álcázott törlő vírus, ami használhatatlanná teheti a számítógépet.
Leírás
A RedBoot ransomware titkosítja a fertőzött számítógépen lévő fájlokat, felülírja a Master Boot Recordot, majd módosítja a partíciós táblát.
A szakértők észrevették, hogy nincs mód a dekódoló kulcs bevitelére az MBR és a partíciós tábla helyreállításához, ami arra utal, hogy ez a rosszindulatú progra egy törlő vírus lehet.
Amikor az áldozat megnyitja a RedBoot ransomware-t, az kibont öt fájlt egy véletlen mappába, amely az indító programot tartalmazza.
Az öt fájl:
boot.asm. – Ez egy assembly fájl, amely az új master boot record-ba fordítódik le. Amikor a boot.asm lefordítódik, létrehozza a boot.bin fájlt.
assembler.exe – Ez egy átnevezett másolat a nasm.exe-ről, amely a boot.asm assembly fájl összeállítására szolgál a master boot record boot.bin fájlban.
main.exe – Ez a felhasználói mód titkosítása, amely titkosítja a fájlokat a számítógépen.
overwrite.exe. – Ez a fájl végzi a master boot rekord felülírását az újonnan összeállított boot.bin fájl segítségével.
protect.exe – Ez a fájl leállítja és megakadályozza a különféle programok futását, például a feladatkezelőt és a processhackert.
A fájlok kibontása után a fő launcher a boot.asm fájlt létrehozza, amely a boot.bin-t generálja. A launcher végrehajtja a következő parancsot:
“[Downloaded_Folder]70281251assembler.exe” -f bin “[Downloaded_Folder]70281251boot.asm” -o “[Downloaded_Folder]70281251boot.bin”
A boot.bin összeállítása után a launcher törli a boot.asm és assembly.exe fájlokat, majd a overwrite.exe program segítségével felülírja az aktuális master boot rekordot az összeállított boot.bin paranccsal.
“[Downloaded_Folder]70945836overwrite.exe” “[Downloaded_Folder]70945836boot.bin”
Ezen a ponton a malware elindítja a titkosítási folyamatot, a launcher elindítja a main.exe fájlt, amely átvizsgálja a gépet a fájlok titkosítására a .locked kiterjesztés hozzáadásával minden titkosított fájlhoz. A main.exe program elindítja a protect.exe programot, amely megakadályozza a fertőzés megállítását szavatoló bármely program végrehajtását.
Miután az összes fájlt titkosította, a RedBoot ransomware újraindítja a számítógépet, és megjelenik egy váltságdíj befizetésére felszólító üzenet.
Sajnos, még ha az áldozat kapcsolatba lépett is a támadóval és fizetett váltságdíjat, a merevlemez nem javítható, mert a RedBoot ransomware véglegesen módosítja a partíciós táblát.
Ezért a szakértők úgy gondolják, hogy ez a program egy ransomware-nek álcázott törlő program, de nem zárhatjuk ki, hogy a készítő egyszerűen hibákat vétett a káros kód elkészítése közben.
IOC-k:
RedBoot Hashes:
Installer: 1001a8c7f33185217e6e1bdbb8dba9780d475da944684fb4bf1fc04809525887
boot.bin: 2ae74130ac809fb54f12e72f589069ad7b5e1f56e68cee00db8867b02112c4b9
main.exe: 1001a8c7f33185217e6e1bdbb8dba9780d475da944684fb4bf1fc04809525887
overwrite.exe: f2bc5886b0f189976a367a69da8745bf66842f9bba89f8d208790db3dad0c7d2
protect.exe: e61a8382f7293e40cb993ddcbcaa53a4e5f07a3d6b6a1bfe5377a1a74a8dcac6
assembler.exe: 2a5305369edb9c2d7354b2f210e91129e4b8c546b0adf883951ea7bf7ee0f2b2
RedBoot Files:
[Downloaded_Folder][random]assembler.exe
[Downloaded_Folder][random]boot.asm
[Downloaded_Folder][random]boot.bin
[Downloaded_Folder][random]main.exe
[Downloaded_Folder][random]overwrite.exe
[Downloaded_Folder][random]protect.exe
Megoldás
Ne nyisson meg olyan emialt, vagy annak csatolmányát, amely az Ön számára ismeretlen forrásból származik, különösen, ha az emilben arra buzdítják!
Hivatkozások
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: securityaffairs.co
Egyéb referencia: www.symantec.com
Egyéb referencia: www.2-viruses.com
Egyéb referencia: www.heise.de