小心！RebBoot可能是披著勒索軟體外衣的刪除工具

E安全9月26日訊 Malware Blocker研究人員發現新型Bootlocker（引導鎖定）勒索軟體，名為「RedBoot」。這款勒索軟體會加密被感染電腦上的文件，替換系統驅動器的主引導記錄（MBR），之後修改分區表。

主引導記錄（MBR）:

主引導記錄（MBR，Main Boot Record）是位於磁碟最前邊的一段引導（Loader）代碼。它負責磁碟操作系統(DOS)對磁碟進行讀寫時分區合法性的判別、分區引導信息的定位，它由磁碟操作系統(DOS)在對硬碟進行初始化時產生的。

研究人員注意到，沒有辦法通過解密密鑰恢復主引導記錄和分區表，由此判斷這款軟體可能是刪除軟體。

RedBoot勒索軟體的作用過程

當受害者執行RedBoot勒索軟體時會提取5個文件到含啟動器目錄的隨機文件夾中。

這5個文件如下：

• boot.asm. –編譯成新主引導記錄的彙編文件。當boot.asm被編譯時，它會生成boot.bin文件。

• assembler.exe –nasm.exe的重命名副本，用來將boot.asm彙編文件編譯成主引導記錄boot.bin文件。

• main.exe –用戶模式加密器，負責加密計算機上的文件。

• overwrite.exe. –使用新編譯的boot.bin文件重寫主引導記錄。

• protect.exe –可執行文件，終止並防止程序運行，例如任務管理器和進程管理器Process Hacker。

一旦提取文件，主啟動器將會編譯boot.asm文件生成boot.bin。啟動器負責執行如下命令：

[Downloaded_Folder]70281251assembler.exe" -f bin "[Downloaded_Folder]70281251oot.asm" -o "[Downloaded_Folder]70281251oot.bin

一旦完成boot.bin的編譯，啟動器將刪除boot.asm和assembly.exe文件，之後利用overwrite.exe程序藉助編譯過的boot.bin，使用如下命令重寫當前主引導記錄。

"[Downloaded_Folder]70945836overwrite.exe" "[Downloaded_Folder]70945836oot.bin"

接下來，這款惡意軟體開始啟動加密進程，啟動器將啟動main.exe，掃描設備上的文件，將.locked擴展名附加到每個加密文件。main.exe還將執行protect.exe組件，以阻止任何以停止感染的軟體執行。

加密所有文件後，RedBoot勒索軟體將重啟電腦，並顯示勒索信。

勒索信會指引受害者將ID密鑰發送至電子郵件收件人redboot@memeware.net，從而了解支付指南。

RedBoot勒索軟體或是刪除軟體

然而，遺憾的是，即使受害者聯繫了惡意軟體開發人員並支付了贖金，硬碟驅動器仍可能無法恢復，因為RedBoot勒索軟體會永久修改分區表。

Lawrence Abrams（勞倫斯·愛不拉姆斯）發布的分析報告指出，雖然這是一款全新的勒索軟體，目前仍在研究當中。但初步分析表明，除了除了加密文件和重寫的主引導記錄，這款勒索軟體還可能修改分區表，而攻擊者不會提供任何恢復方法。

Abrams總結稱，雖然這款勒索軟體執行標準的用戶模式加密，修改分區表，再加上無法通過解密密鑰恢復，這些特徵可能表明這是一款披著勒索軟體外衣的刪除軟體。由於開發者使用腳本語言（例如AutoIT）開發這款軟體，目前仍無法排除這只是開發人員在開發期間犯下的錯誤的可能。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！