安全研究人員Malware Blocker發現了一款新型的勒索軟件，它會加密你計算機的BOOT，被稱為RedBoot。當RedBoot執行時會加密計算機上的文件，會替換系統驅動器的主引導記錄(MBR)，然後以某種方式修改分區表。

RedBoot加密過程

RedBoot由開發者使用腳本語言AutoIT開發，當可執行文件被執行時，它會將提取5個文件到執行啟動器目錄中的隨機文件夾中，它們分別是boot.asm、assembler.exe、main.exe、overwrite.exe和protect.exe，如下所述：

assembler.exe - 這是一個重命名的nasm.exe副本，用於將boot.asm程序集文件編譯到主引導記錄boot.bin文件中。

boot.asm - 此文件是將被編譯到新的主引導記錄中的程序集文件。

boot.bin - 當boot.asm被assembly.exe編譯時，它會生成boot.bin文件。

overwrite.exe - 此程序用於使用新編譯的boot.bin覆蓋原有的主引導記錄(MBR)。

main.exe - 這是加密計算機文件的加密器。

protect.exe - 此可執行文件將終止並阻止各種程序運行。這包括任務管理器和進程管理工具(ProcessHacker)。

提取文件後，主啟動程序將執行以下命令將boot.asm文件編譯到boot.bin文件中。

[Downloaded_Folder]\70281251\assembler.exe" -f bin "[Downloaded_Folder]\70281251\boot.asm" -o "[Downloaded_Folder]\70281251\boot.bin"

"[Downloaded_Folder]\70945836\overwrite.exe" "[Downloaded_Folder]\70945836\boot.bin"

接下來main.exe程序正式啟動，該程序將掃描計算機以進行文件加密。main.exe程序還將啟動protect.exe程序，以阻止可能用於分析或停止感染的其他保護程序。

main.exe將加密可執行文件(.exe)、動態鏈接庫文件(.dll)以及其他數據文件，並將.locked擴展名附加到每個被加密文件的文件名中。

完成文件加密後，計算機將會被重新啟動。但不是啟動Windows，而是顯示新的主引導記錄生成的贖金票據。

此贖金票據指示受害者將其ID密鑰發送給開發者([email protected])以獲得付款說明。

雖軟RedBoot作為一款最新被發現的惡意軟件，關於它的分析研究正在進行中。但是根據初步分析結果顯示，RedBoot除了加密文件和覆蓋MBR外，它還可能會修改分區表，並且不提供恢復的方法。

這意味著即使受害者聯繫開發者並支付了贖金，其硬盤可能也無法恢復。

它是一個勒索軟件還是擦拭器?

雖然RedBoot看似確實按照勒索軟件的標準執行模式在對受害者的計算機進行加密，但RedBoot修改分區表並不提供恢復方法的行為，讓我們不得不懷疑它極有可能是一偽裝成勒索軟件的擦拭器。