E安全9月26日讯 Malware Blocker研究人员发现新型Bootlocker（引导锁定）勒索软件，名为“RedBoot”。这款勒索软件会加密被感染电脑上的文件，替换系统驱动器的主引导记录（MBR），之后修改分区表。

主引导记录（MBR）:

主引导记录（MBR，Main Boot Record）是位于磁盘最前边的一段引导（Loader）代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位，它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。

研究人员注意到，没有办法通过解密密钥恢复主引导记录和分区表，由此判断这款软件可能是删除软件。

当受害者执行RedBoot勒索软件时会提取5个文件到含启动器目录的随机文件夹中。

这5个文件如下：

• boot.asm. –编译成新主引导记录的汇编文件。当boot.asm被编译时，它会生成boot.bin文件。

• assembler.exe –nasm.exe的重命名副本，用来将boot.asm汇编文件编译成主引导记录boot.bin文件。

• main.exe –用户模式加密器，负责加密计算机上的文件。

• overwrite.exe. –使用新编译的boot.bin文件重写主引导记录。

• protect.exe –可执行文件，终止并防止程序运行，例如任务管理器和进程管理器Process Hacker。

一旦提取文件，主启动器将会编译boot.asm文件生成boot.bin。启动器负责执行如下命令：

[Downloaded_Folder]\70281251\assembler.exe" -f bin "[Downloaded_Folder]\70281251\boot.asm" -o "[Downloaded_Folder]\70281251\boot.bin

一旦完成boot.bin的编译，启动器将删除boot.asm和assembly.exe文件，之后利用overwrite.exe程序借助编译过的boot.bin，使用如下命令重写当前主引导记录。

"[Downloaded_Folder]\70945836\overwrite.exe" "[Downloaded_Folder]\70945836\boot.bin"

接下来，这款恶意软件开始启动加密进程，启动器将启动main.exe，扫描设备上的文件，将.locked扩展名附加到每个加密文件。main.exe还将执行protect.exe组件，以阻止任何以停止感染的软件执行。

加密所有文件后，RedBoot勒索软件将重启电脑，并显示勒索信。

勒索信会指引受害者将ID密钥发送至电子邮件收件人redboot@memeware.net，从而了解支付指南。

然而，遗憾的是，即使受害者联系了恶意软件开发人员并支付了赎金，硬盘驱动器仍可能无法恢复，因为RedBoot勒索软件会永久修改分区表。

Lawrence Abrams（劳伦斯·爱不拉姆斯）发布的分析报告指出，虽然这是一款全新的勒索软件，目前仍在研究当中。但初步分析表明，除了除了加密文件和重写的主引导记录，这款勒索软件还可能修改分区表，而攻击者不会提供任何恢复方法。

Abrams总结称，虽然这款勒索软件执行标准的用户模式加密，修改分区表，再加上无法通过解密密钥恢复，这些特征可能表明这是一款披着勒索软件外衣的删除软件。由于开发者使用脚本语言（例如AutoIT）开发这款软件，目前仍无法排除这只是开发人员在开发期间犯下的错误的可能。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/419323959.shtml

▼点击“阅读原文” 查看更多精彩内容