Összefoglaló
A RedBoot ransomware a szakértők szerint egy ransomware-nek álcázott törlő vírus, ami használhatatlanná teheti a számítógépet.
Leírás
A RedBoot ransomware titkosítja a fertőzött számítógépen lévő fájlokat, felülírja a Master Boot Recordot, majd módosítja a partíciós táblát.
A szakértők észrevették, hogy nincs mód a dekódoló kulcs bevitelére az MBR és a partíciós tábla helyreállításához, ami arra utal, hogy ez a rosszindulatú progra egy törlő vírus lehet.
Amikor az áldozat megnyitja a RedBoot ransomware-t, az kibont öt fájlt egy véletlen mappába, amely az indító programot tartalmazza.
Az öt fájl:
boot.asm. – Ez egy assembly fájl, amely az új master boot record-ba fordítódik le. Amikor a boot.asm lefordítódik, létrehozza a boot.bin fájlt.
assembler.exe – Ez egy átnevezett másolat a nasm.exe-ről, amely a boot.asm assembly fájl összeállítására szolgál a master boot record boot.bin fájlban.
main.exe – Ez a felhasználói mód titkosítása, amely titkosítja a fájlokat a számítógépen.
overwrite.exe. – Ez a fájl végzi a master boot rekord felülírását az újonnan összeállított boot.bin fájl segítségével.
protect.exe – Ez a fájl leállítja és megakadályozza a különféle programok futását, például a feladatkezelőt és a processhackert.
A fájlok kibontása után a fő launcher a boot.asm fájlt létrehozza, amely a boot.bin-t generálja. A launcher végrehajtja a következő parancsot:
“[Downloaded_Folder]70281251assembler.exe” -f bin “[Downloaded_Folder]70281251boot.asm” -o “[Downloaded_Folder]70281251boot.bin”
A boot.bin összeállítása után a launcher törli a boot.asm és assembly.exe fájlokat, majd a overwrite.exe program segítségével felülírja az aktuális master boot rekordot az összeállított boot.bin paranccsal.
“[Downloaded_Folder]70945836overwrite.exe” “[Downloaded_Folder]70945836boot.bin”
Ezen a ponton a malware elindítja a titkosítási folyamatot, a launcher elindítja a main.exe fájlt, amely átvizsgálja a gépet a fájlok titkosítására a .locked kiterjesztés hozzáadásával minden titkosított fájlhoz. A main.exe program elindítja a protect.exe programot, amely megakadályozza a fertőzés megállítását szavatoló bármely program végrehajtását.
Miután az összes fájlt titkosította, a RedBoot ransomware újraindítja a számítógépet, és megjelenik egy váltságdíj befizetésére felszólító üzenet.
Sajnos, még ha az áldozat kapcsolatba lépett is a támadóval és fizetett váltságdíjat, a merevlemez nem javítható, mert a RedBoot ransomware véglegesen módosítja a partíciós táblát.
Ezért a szakértők úgy gondolják, hogy ez a program egy ransomware-nek álcázott törlő program, de nem zárhatjuk ki, hogy a készítő egyszerűen hibákat vétett a káros kód elkészítése közben.
IOC-k:
RedBoot Hashes:
Installer: 1001a8c7f33185217e6e1bdbb8dba9780d475da944684fb4bf1fc04809525887
boot.bin: 2ae74130ac809fb54f12e72f589069ad7b5e1f56e68cee00db8867b02112c4b9
main.exe: 1001a8c7f33185217e6e1bdbb8dba9780d475da944684fb4bf1fc04809525887
overwrite.exe: f2bc5886b0f189976a367a69da8745bf66842f9bba89f8d208790db3dad0c7d2
protect.exe: e61a8382f7293e40cb993ddcbcaa53a4e5f07a3d6b6a1bfe5377a1a74a8dcac6
assembler.exe: 2a5305369edb9c2d7354b2f210e91129e4b8c546b0adf883951ea7bf7ee0f2b2
RedBoot Files:
[Downloaded_Folder][random]assembler.exe
[Downloaded_Folder][random]boot.asm
[Downloaded_Folder][random]boot.bin
[Downloaded_Folder][random]main.exe
[Downloaded_Folder][random]overwrite.exe
[Downloaded_Folder][random]protect.exe
Megoldás
Ne nyisson meg olyan emialt, vagy annak csatolmányát, amely az Ön számára ismeretlen forrásból származik, különösen, ha az emilben arra buzdítják!
Támadás típusa
RansomwareTrójai
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: securityaffairs.co
Egyéb referencia: www.symantec.com
Egyéb referencia: www.2-viruses.com
Egyéb referencia: www.heise.de
