新闻快讯
< >

小心!RebBoot可能是披着勒索软件外衣的删除工具

E安全9月26日讯 Malware Blocker研究人员发现新型Bootlocker(引导锁定)勒索软件,名为“RedBoot”。这款勒索软件会加密被感染电脑上的文件,替换系统驱动器的主引导记录(MBR),之后修改分区表。

主引导记录(MBR):

主引导记录(MBR,Main Boot Record)是位于磁盘最前边的一段引导(Loader)代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位,它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。

研究人员注意到,没有办法通过解密密钥恢复主引导记录和分区表,由此判断这款软件可能是删除软件。

RedBoot勒索软件的作用过程

当受害者执行RedBoot勒索软件时会提取5个文件到含启动器目录的随机文件夹中。

小心!RebBoot可能是披着勒索软件外衣的删除工具-E安全

这5个文件如下:

  • boot.asm. –编译成新主引导记录的汇编文件。当boot.asm被编译时,它会生成boot.bin文件。

  • assembler.exe –nasm.exe的重命名副本,用来将boot.asm汇编文件编译成主引导记录boot.bin文件。

  • main.exe –用户模式加密器,负责加密计算机上的文件。

  • overwrite.exe. –使用新编译的boot.bin文件重写主引导记录。

  • protect.exe –可执行文件,终止并防止程序运行,例如任务管理器和进程管理器Process Hacker。

一旦提取文件,主启动器将会编译boot.asm文件生成boot.bin。启动器负责执行如下命令:

[Downloaded_Folder]\70281251\assembler.exe" -f bin "[Downloaded_Folder]\70281251\boot.asm" -o "[Downloaded_Folder]\70281251\boot.bin

一旦完成boot.bin的编译,启动器将删除boot.asm和assembly.exe文件,之后利用overwrite.exe程序借助编译过的boot.bin,使用如下命令重写当前主引导记录。

"[Downloaded_Folder]\70945836\overwrite.exe" "[Downloaded_Folder]\70945836\boot.bin"

接下来,这款恶意软件开始启动加密进程,启动器将启动main.exe,扫描设备上的文件,将.locked扩展名附加到每个加密文件。main.exe还将执行protect.exe组件,以阻止任何以停止感染的软件执行。

加密所有文件后,RedBoot勒索软件将重启电脑,并显示勒索信。

勒索信会指引受害者将ID密钥发送至电子邮件收件人redboot@memeware.net,从而了解支付指南。

RedBoot勒索软件或是删除软件

然而,遗憾的是,即使受害者联系了恶意软件开发人员并支付了赎金,硬盘驱动器仍可能无法恢复,因为RedBoot勒索软件会永久修改分区表。

小心!RebBoot可能是披着勒索软件外衣的删除工具-E安全

Lawrence Abrams(劳伦斯·爱不拉姆斯)发布的分析报告指出,虽然这是一款全新的勒索软件,目前仍在研究当中。但初步分析表明,除了除了加密文件和重写的主引导记录,这款勒索软件还可能修改分区表,而攻击者不会提供任何恢复方法。

Abrams总结称,虽然这款勒索软件执行标准的用户模式加密,修改分区表,再加上无法通过解密密钥恢复,这些特征可能表明这是一款披着勒索软件外衣的删除软件。由于开发者使用脚本语言(例如AutoIT)开发这款软件,目前仍无法排除这只是开发人员在开发期间犯下的错误的可能。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。