Skip to Content

نمایشگر دسته ای مطالب نمایشگر دسته ای مطالب

بازگشت به صفحه کامل

باج افزار تازه کشف شده Dubbed RedBoot

Dubbed RedBoot، بدافزاری است که برای اهداف مخرب طراحی شده است که با جایگزینی MBR،کامپیوتر قربانی را از بارگیری ویندوز باز می دارد.

عملیات بدافزار مشابه آن هایی است که  Petya-Mischa pairهستند. Mischa  فایل های کاربران را رمزگذاری می نماید که بعدها به نوع Goldeneye تبدیل شد. درسال جاری، یک حمله عمومی از یک پاک کننده مخرب استفاده می کرد که تحت عنوان petya مطرح شد. پس از اجرا برروی دستگاه هدف، RedBoot ransomware جدید،  فایل دیگر را به صورت یک پوشه تصادفی در همان دایرکتوری به عنوان راه انداز اجرامی کند : assembler.exe, boot.asm, main.exe, overwrite.exe,  and protect.exe

assembler.exe ،یک کپی تغییرنام یافته از nasm.exe است که برای کامپایل بوت استفاده می شود. فایل اسمبلی داخل یک بوت MBR است به نام bin file.

overwrite.exe، برای بازنویسی بوت موجود استفاده می شود.

عملیات رمز گذاری حالت کاربر، بافایل main.exe انجام می شود. در حالی که protect.exe برای پایان دادن و جلوگیری از اجرای برنامه های مختلف در دستگاه آلوده ، از جمله Task Manager و Process Hacker طراحی شده است.

پس از استخراج فایل ها، لانچر، فرمان لازم را برای بوت جدید اجرا می کند. فایل bin و سپس فایل boot.asm و assembler.exe  را حذف می کند. بعد آن را boot.bin را بارگزاری می کند و سپس main.exe را شروع می کند تا فایل را برای رمزگذاری کامپیوتر اسکن کند. protect.exe نیز برای جلوگیری از مسدود کردن یا تحلیل آلودگی برنامه های دیگر راه اندازی شده است. ransoneware برای رمزگزاری اجرایی، DLLها و فایل های داده های نرمال در دستگاه آلوده طراحی شده است و افزونه قفل شده را، به هرکدام از فایل های رمز شده اضافه می کند. به محض اینکه فرآیند رمزگذاری کامل شد؛ بدافزار دستگاه را دوباره راه اندازی می کند

اگرچه توجه داشته باشید که قربانیان می گویند: افراد می توانند داده های خود را بازیابی کنند. اگر بادستور redboot@memeware.net  برای دریافت دستورالعمل های پرداخت تماس می گیرند. محققان این تهدید را تحلیل می کنند که نشان می دهد این پیشنهاد، ممکن نیست. ظاهرا نرم افزارهای مخرب هم چنین می تواند جدول پارتیشن را بدون ارائه  یک روش برای بازکردن آن تغییر دهند. به همین دلیل محقق می گوید حتی اگر قربانی با نرم افزار بدافزار ارتباط برقرار کند و باج  را بپردازد؛ ممکن است هارد دیسک قابل بازیابی نباشد. درحال حاضرمشخص نیست که آیا RedBoot مثل ransomware یکی دیگر از پاک کننده هاست واگر از آن جمله است؛ یک بدافزار ضعیف است یا خیر.