Вредоносная программа Redboot шифрует данные, вымогая заплатить

320
views

Исследователями Malware Blocker, был обнаружен «вредонос», получивший название RedBoot. Помимо шифрования файлов, программа также перезаписывает MBR и изменяет таблицу разделов,

Вредоносная программа Redboot шифрует данные, вымогая заплатить
Файл, созданный с помощью языка сценариев AutoIt, извлекает пять файлов, которые нужны для перезаписи MBR и выполнения шифрования: boot.asm, assembler.exe, main.exe, overwrite.exe и protect.exe. Последний, как стало известно, блокировки приложений, которыми можно проанализировать вредоносную программу или завершить процессы, включая диспетчер задач и менеджер процессов.

В отчёте исследователи отмечают, что атака Redboot не выглядит многообещающей для жертвы, так как предварительный анализ подакащвает, что в дополнение к зашифрованным файлам и перезаписанному MBR, вымогатели также могут изменить таблицу разделов без возможности его восстановления.

Это привело исследователей к выводу, что вредоносная программа работает со сбоями или же просто плохо запрограммированна, хотя точные намерения автора не ясны.

Исследователи предположили, что атаки нового бутлокера распространялись последнюю неделю. Агрессивная кампания распространения, где используется один идентификатор, означает, что злоумышленники никак не могли послать правильный ключ декриптора, даже если жертва заплатила.

Источник: SCMagazine