باج‌افزار یا وایپر؟!

محققان از کشف باج‌افزاری موسوم به RedBoot خبر داده‌اند که علاوه بر رمزگذاری فایل‌های ذخیره شده بر روی دستگاه، بخش Master Boot Record – به اختصار MBR – آن را نیز جایگزین کرده و جدول پارتیشن دستگاه را به نحو مورد نظر خود تغییر می‌دهد.

بخش Master Boot Record در قسمت‌های ابتدایی دیسک سخت ذخیره و نگهداری می‌شود. این بخش شامل اطلاعاتی درباره ساختار دیسک و برنامه‌ای که سیستم عامل را به اجرا در می‌آورد، می‌باشد. بدون یک Master Boot Record سالم و صحیح، کامپیوتر نمی‌داند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راه‌اندازی و اجرا شود.

به گزارش شرکت مهندسی شبکه گستر، به محض اجرای RedBoot که با زبان AutoIT کامپایل شده 5 فایل زیر در پوشه‌ای با نامی تصادفی در همان مسیر که فایل اول اجرا شده ایجاد می‌شود:

  • boot.asm
  • assembler.exe
  • main.exe
  • overwrite.exe
  • protect.exe

با باز شدن فایل‌های مذکور فرمان زیر را برای کامپایل کردن boot.asm در boot.bin اجرا می‌کند:

  • [Downloaded_Folder]\70281251\assembler.exe” -f bin “[Downloaded_Folder]\70281251\boot.asm” -o “[Downloaded_Folder]\70281251\boot.bin”

به محض کامپایل شدن boot.bin، باج‌افزار، boot.asm و assembly.exe را از روی دستگاه حذف می‌کند.

در ادامه فایل overwrite.exe بخش MBR دستگاه را با boot.bin کامپایل شده رونویسی می‌کند.

سپس برنامه main.exe اجرا شده و با پویش کردن دستگاه، فایل‌های اجرایی، DLL و داده‌ای را رمزگذاری کرده و به آنها پسوند locked. را الصاق می‌کند.

رد بوت

همچنین main.exe برنامه protect.exe را نیز برای مسدودسازی برنامه‌های تحلیلگر بدافزار اجرا می‌کند.

پس از اتمام فرآیند رمزگذاری دستگاه راه‌اندازی مجدد شده و بجای بالا آمدن Windows اطلاعیه باج‌گیری که توسط بخش MBR جایگزین شده ایجاد گردیده نمایش داده می‌شود.

در اطلاعیه مذکور از قربانی خواسته می‌شود تا با ارسال شناسه درج شده در پیام به ایمیل redboot@memeware.net دستورالعمل پرداخت باج را دریافت کند.

برخی محققان معتقدند که پیش از دست‌درازی باج‌افزار به جدول پارتیشن‌ها روشی برای بازگرداندن آن به حالت قبل در نظر گرفته نشده است؛ در صورت صحیح بودن این نظریه، امکان بازگرداندن داده‌ها به حالت قبل حتی در صورت در اختیار داشتن کلید رمزگشایی فایل‌های بر روی دستگاه ناممکن خواهد بود.

مشخص نیست که در نظر گرفته نشدن روشی برای بازگردانی جدول پارتیشن‌ها صرفاً یک باگ برنامه‌نویسی است یا نیت واقعی نویسنده یا نویسندگان، اجرای بدافزاری از نوع Wiper در ظاهر باج‌افزار بر روی اهدافشان است.

هدف قرار دادن بخش MBR توسط نویسندگان باج‌افزار موضوع جدیدی نیست. Petya معروف‌ترین باج‌افزاری است که با رمزگذاری بخش Master Boot Record دیسک سخت، کامپیوتر را غیرقابل راه‌اندازی می‌کند.

نمونه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:

McAfee:
   – Generic Trojan.i

Bitdefender:
   – Trojan.Ransom.RedBoot.A

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *