Un nuovo ransomware bootlocker è stato recentemente scoperto. Il suo nome è Red Boot e quando viene eseguito cripta i file presenti sul computer, sostituisce il Master Boot Record (MBR) dell’unità di sistema e quindi modifica la Partition Table: entrambi sono necessari per l'avvio del sistema, quindi chi è vittima di questo ransomware non potrà avviare più il sistema stesso.
Poiché il ransomware non fornisce una chiave per ripristinare la Partition Table o l'MBR, a meno che lo sviluppatore non disponga di un decriptatore "bootable", questo malware finirebbe per essere non un ransomware, ma un wiper, ovvero un malware che impedisce in maniera irrecuperabile l'avvio del sistema. In questo quindi la richiesta di riscatto perderebbe di senso.
Come cripta i file
Quando viene eseguito, il ransomware RedBoot estrae 5 file in una cartella casuale nella directory in cui è avvenuto il lancio. Questi file sono boot.asm, assembler.exe, main.exe, overwrite.exe, protect.exe.
Una volta estratti i file, il launcher principale eseguirà il seguente comando per compilare il file boot.asm nel file boot.bin.
[Downloaded_Folder]\70281251\assembler.exe" -f bin "[Downloaded_Folder]\70281251\boot.asm" -o "[Downloaded_Folder]\70281251\boot.bin"
Una volta compilato il boot.bin, il launcher eliminerà i file boot.asm e assembly.exe dal computer. Utilizzerà quindi il programma overwrite.exe per sovrascrivere il record corrente di avvio del computer con il boot.bin compilato utilizzando questo comando.
"[Downloaded_Folder]\70945836\overwrite.exe" "[Downloaded_Folder]\70945836\boot.bin"
Il launcher avvierà poi il programma main.exe, che scansionerà il computer alla ricerca dei file da criptare. Il programma main.exe lancerà anche il programma protect.exe per bloccare i programmi che possono essere usati per analizzare o arrestare l'infezione.
Mentre main.exe sta criptando i file, esso cripterà i file eseguibili, i file dlls ed i normali file di dati, aggiungendo l'estensione .locked al nome file di ogni file criptato.
La richiesta di riscatto
Durante la criptazione dei file, il computer si riavvia e, invece di avviare Windows, visualizza una nota di riscatto generata dal nuovo record di avvio principale. Questa schermata di riscatto farà sapere alla vittima di dover inviare il proprio codice ID allo sviluppatore, tramite la mail di conttato redboot@memeware.net, al fine di ottenere le istruzioni relative al pagamento.
È un ransomware o un wiper?
Mentre questo ransomware esegue la criptazione dei file in modalità utente standard, la modifica della Partition Table ed il fatto che non sia possibile immettere una chiave per il ripristino stanno ad indicare che potrebbe trattarsi di un wiper mascherato da ransomware. E inoltre, visto che lo sviluppatore ha usato un linguaggio di script come AutoIT per sviluppare questo ransomware, potrebbe anche solo trattarsi di un ransomware poco codificato. Le ipotesi dei ricercatori, al momento, sembrano convergere su questa seconda pista.
Nessun commento:
Posta un commento