小心!RebBoot 可能是披着勒索软件外衣的删除工具
网安支队17-10-10浏览(553

MalwareBlocker研究人员发现新型Bootlocker(引导锁定)勒索软件,名为“RedBoot”。这款勒索软件会加密被感染电脑上的文件,替换系统驱动器的主引导记录(MBR),之后修改分区表。
主引导记录(MBR):
主引导记录(MBR,Main BootRecord)是位于磁盘最前边的一段引导(Loader)代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位,它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。
研究人员注意到,没有办法通过解密密钥恢复主引导记录和分区表,由此判断这款软件可能是删除软件。
RedBoot勒索软件的作用过程
当受害者执行RedBoot勒索软件时会提取5个文件到含启动器目录的随机文件夹中。
这5个文件如下:
boot.asm.–编译成新主引导记录的汇编文件。当boot.asm被编译时,它会生成boot.bin文件。assembler.exe–nasm.exe的重命名副本,用来将boot.asm汇编文件编译成主引导记录boot.bin文件。main.exe–用户模式加密器,负责加密计算机上的文件。overwrite.exe.–使用新编译的boot.bin文件重写主引导记录。protect.exe–可执行文件,终止并防止程序运行,例如任务管理器和进程管理器ProcessHacker一旦提取文件,主启动器将会编译boot.asm文件生成boot.bin。启动器负责执行如下命令:
[Downloaded_Folder]\70281251\assembler.exe" -f bin"[Downloaded_Folder]\70281251\boot.asm" -o"[Downloaded_Folder]\70281251\boot.bin
一旦完成boot.bin的编译,启动器将删除boot.asm和assembly.exe文件,之后利用overwrite.exe程序借助编译过的boot.bin,使用如下命令重写当前主引导记录。
"[Downloaded_Folder]\70945836\overwrite.exe""[Downloaded_Folder]\70945836\boot.bin"
接下来,这款恶意软件开始启动加密进程,启动器将启动main.exe,扫描设备上的文件,将.locked扩展名附加到每个加密文件。main.exe还将执行protect.exe组件,以阻止任何以停止感染的软件执行。
加密所有文件后,RedBoot勒索软件将重启电脑,并显示勒索信。
勒索信会指引受害者将ID密钥发送至电子邮件收件人redboot@memeware.net,从而了解支付指南。
RedBoot勒索软件或是删除软件
然而,遗憾的是,即使受害者联系了恶意软件开发人员并支付了赎金,硬盘驱动器仍可能无法恢复,因为RedBoot勒索软件会永久修改分区表。
LawrenceAbrams(劳伦斯·爱不拉姆斯)发布的分析报告指出,虽然这是一款全新的勒索软件,目前仍在研究当中。但初步分析表明,除了除了加密文件和重写的主引导记录,这款勒索软件还可能修改分区表,而攻击者不会提供任何恢复方法。
Abrams总结称,虽然这款勒索软件执行标准的用户模式加密,修改分区表,再加上无法通过解密密钥恢复,这些特征可能表明这是一款披着勒索软件外衣的删除软件。由于开发者使用脚本语言(例如AutoIT)开发这款软件,目前仍无法排除这只是开发人员在开发期间犯下的错误的可能。
 
文章来源:E安全

上一篇

下一篇

 
 
进入编辑状态