研究人员发现新的 bootlocker 勒索软件——RedBoot

研究人员发现新的 bootlocker 勒索软件——RedBoot

黑客专题访客2021-10-11 19:22:009002A+A-

近日,研究人员发现一个新的 bootlocker 勒索软件,被称为 RedBoot,它对受感染的计算机上的文件进行加密,可以取代系统驱动器的主引导记录(MBR),并修改分区表。被 RedBoot 攻击后,无法输入解密密钥来恢复 MBR 和分区表,这表明 RedBoot 可能是一种 wiper。

当 RedBoot 勒索软件在被入侵的计算机上执行时,会将 5 个其他文件解压到包含启动器的目录下的随机文件夹中:

boot.asm。 – 一个汇编文件,可以被编译到新的主引导记录中。 当 boot.asm 被编译时,将生成 boot.bin 文件;
assembler.exe – 一个重命名的 nasm.exe 副本,用于将 boot.asm 程序集文件编译到主引导记录 boot.bin 文件中;
main.exe – 用户模式加密程序,可以加密计算机上的文件;
overwrite.exe – 利用新编译的 boot.bin 文件覆盖主引导记录;
protect.exe – 可执行文件,能终止并阻止任务管理器、进程入侵程序等各种程序的运行。

提取文件后,主启动器将编译生成 boot.bin 的 boot.asm 文件。一旦 boot.bin 被编译,启动器将删除 boot.asm 和 assembly.exe 文件,然后使用 overwrite.exe 程序覆盖当前主引导记录。此时,恶意软件启动加密过程,启动器将启动 main.exe,扫描计算机获取文件,用于加密 .locked 扩展名下的文件。 main.exe 程序还将执行 protect.exe 组件来阻止杀毒软件。

所有文件被加密后,RedBoot 勒索软件将重新启动计算机,并显示勒索界面,指示受害者将 ID 密钥发送到 redboot@memeware.net 以获得付款说明。

不幸的是,即使受害者联系了攻击者并支付了赎金,硬盘驱动器可能也无法恢复,因为 RedBoot 会永久修改分区表。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 辙弃晚雾2022-06-02 00:46:55
  • 集文件编译到主引导记录 boot.bin 文件中;main.exe – 用户模式加密程序,可以加密计算机上的文件;overwrite.exe – 利用新编译的 boot.bin 文件覆盖主引导记录;protect.
  • 只酷桃靥2022-06-01 15:05:30
  • 恢复 MBR 和分区表,这表明 RedBoot 可能是一种 wiper。当 RedBoot 勒索软件在被入侵的计算机上执行时,会将 5 个其他文件解压到包含启动器的目录下的随机文件夹中:boot.asm。 – 一个汇编文件

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理