RedBoot Ransomware

CH azonosító

CH-14245

Angol cím

RedBoot Ransomware

Felfedezés dátuma

2017.09.24.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A RedBoot ransomware a szakértők szerint egy ransomware-nek álcázott törlő vírus, ami használhatatlanná teheti a számítógépet.

Leírás

A RedBoot ransomware titkosítja a fertőzött számítógépen lévő fájlokat, felülírja a Master Boot Recordot, majd módosítja a partíciós táblát.

A szakértők észrevették, hogy nincs mód a dekódoló kulcs bevitelére az MBR és a partíciós tábla helyreállításához, ami arra utal, hogy ez a rosszindulatú progra egy törlő vírus lehet.

Amikor az áldozat megnyitja a RedBoot ransomware-t, az kibont öt fájlt egy véletlen mappába, amely az indító programot tartalmazza.

Az öt fájl:

boot.asm. – Ez egy assembly fájl, amely az új master boot record-ba fordítódik le. Amikor a boot.asm lefordítódik, létrehozza a boot.bin fájlt.
assembler.exe – Ez egy átnevezett másolat a nasm.exe-ről, amely a boot.asm assembly fájl összeállítására szolgál a master boot record boot.bin fájlban.
main.exe – Ez a felhasználói mód titkosítása, amely titkosítja a fájlokat a számítógépen.
overwrite.exe. – Ez a fájl végzi a master boot rekord felülírását az újonnan összeállított boot.bin fájl segítségével.
protect.exe – Ez a fájl leállítja és megakadályozza a különféle programok futását, például a feladatkezelőt és a processhackert.

A fájlok kibontása után a fő launcher a boot.asm fájlt létrehozza, amely a boot.bin-t generálja. A launcher végrehajtja a következő parancsot:

“[Downloaded_Folder]70281251assembler.exe” -f bin “[Downloaded_Folder]70281251boot.asm” -o “[Downloaded_Folder]70281251boot.bin”

A boot.bin összeállítása után a launcher törli a boot.asm és assembly.exe fájlokat, majd a overwrite.exe program segítségével felülírja az aktuális master boot rekordot az összeállított boot.bin paranccsal.

“[Downloaded_Folder]70945836overwrite.exe” “[Downloaded_Folder]70945836boot.bin”

Ezen a ponton a malware elindítja a titkosítási folyamatot, a launcher elindítja a main.exe fájlt, amely átvizsgálja a gépet a fájlok titkosítására a .locked kiterjesztés hozzáadásával minden titkosított fájlhoz. A main.exe program elindítja a protect.exe programot, amely megakadályozza a fertőzés megállítását szavatoló bármely program végrehajtását.

Miután az összes fájlt titkosította, a RedBoot ransomware újraindítja a számítógépet, és megjelenik egy váltságdíj befizetésére felszólító üzenet.

Sajnos, még ha az áldozat kapcsolatba lépett is a támadóval és fizetett váltságdíjat, a merevlemez nem javítható, mert a RedBoot ransomware véglegesen módosítja a partíciós táblát.

Ezért a szakértők úgy gondolják, hogy ez a program egy ransomware-nek álcázott törlő program, de nem zárhatjuk ki, hogy a készítő egyszerűen hibákat vétett a káros kód elkészítése közben.

IOC-k:

RedBoot Hashes:

Installer:     1001a8c7f33185217e6e1bdbb8dba9780d475da944684fb4bf1fc04809525887
boot.bin:      2ae74130ac809fb54f12e72f589069ad7b5e1f56e68cee00db8867b02112c4b9
main.exe:      1001a8c7f33185217e6e1bdbb8dba9780d475da944684fb4bf1fc04809525887
overwrite.exe: f2bc5886b0f189976a367a69da8745bf66842f9bba89f8d208790db3dad0c7d2
protect.exe:   e61a8382f7293e40cb993ddcbcaa53a4e5f07a3d6b6a1bfe5377a1a74a8dcac6
assembler.exe: 2a5305369edb9c2d7354b2f210e91129e4b8c546b0adf883951ea7bf7ee0f2b2

RedBoot Files:

[Downloaded_Folder][random]assembler.exe
[Downloaded_Folder][random]boot.asm
[Downloaded_Folder][random]boot.bin
[Downloaded_Folder][random]main.exe
[Downloaded_Folder][random]overwrite.exe
[Downloaded_Folder][random]protect.exe

 

Megoldás

Ne nyisson meg olyan emialt, vagy annak csatolmányát, amely az Ön számára ismeretlen forrásból származik, különösen, ha az emilben arra buzdítják!

Hivatkozások

Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: securityaffairs.co
Egyéb referencia: www.symantec.com
Egyéb referencia: www.2-viruses.com
Egyéb referencia: www.heise.de