近日,研究人员发现一个新的 bootlocker 勒索软件,被称为 RedBoot,它对受感染的计算机上的文件进行加密,可以取代系统驱动器的主引导记录(MBR),并修改分区表。被 RedBoot 攻击后,无法输入解密密钥来恢复 MBR 和分区表,这表明 RedBoot 可能是一种 wiper。
当 RedBoot 勒索软件在被入侵的计算机上执行时,会将 5 个其他文件解压到包含启动器的目录下的随机文件夹中:
boot.asm。 – 一个汇编文件,可以被编译到新的主引导记录中。 当 boot.asm 被编译时,将生成 boot.bin 文件;
assembler.exe – 一个重命名的 nasm.exe 副本,用于将 boot.asm 程序集文件编译到主引导记录 boot.bin 文件中;
main.exe – 用户模式加密程序,可以加密计算机上的文件;
overwrite.exe – 利用新编译的 boot.bin 文件覆盖主引导记录;
protect.exe – 可执行文件,能终止并阻止任务管理器、进程入侵程序等各种程序的运行。
提取文件后,主启动器将编译生成 boot.bin 的 boot.asm 文件。一旦 boot.bin 被编译,启动器将删除 boot.asm 和 assembly.exe 文件,然后使用 overwrite.exe 程序覆盖当前主引导记录。此时,恶意软件启动加密过程,启动器将启动 main.exe,扫描计算机获取文件,用于加密 .locked 扩展名下的文件。 main.exe 程序还将执行 protect.exe 组件来阻止杀毒软件。
所有文件被加密后,RedBoot 勒索软件将重新启动计算机,并显示勒索界面,指示受害者将 ID 密钥发送到 redboot@memeware.net 以获得付款说明。
不幸的是,即使受害者联系了攻击者并支付了赎金,硬盘驱动器可能也无法恢复,因为 RedBoot 会永久修改分区表。