محققان از کشف باجافزاری موسوم به RedBoot خبر دادهاند که علاوه بر رمزگذاری فایلهای ذخیره شده بر روی دستگاه، بخش Master Boot Record – به اختصار MBR – آن را نیز جایگزین کرده و جدول پارتیشن دستگاه را به نحو مورد نظر خود تغییر میدهد.
بخش Master Boot Record در قسمتهای ابتدایی دیسک سخت ذخیره و نگهداری میشود. این بخش شامل اطلاعاتی درباره ساختار دیسک و برنامهای که سیستم عامل را به اجرا در میآورد، میباشد. بدون یک Master Boot Record سالم و صحیح، کامپیوتر نمیداند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راهاندازی و اجرا شود.
به گزارش شرکت مهندسی شبکه گستر، به محض اجرای RedBoot که با زبان AutoIT کامپایل شده 5 فایل زیر در پوشهای با نامی تصادفی در همان مسیر که فایل اول اجرا شده ایجاد میشود:
- boot.asm
- assembler.exe
- main.exe
- overwrite.exe
- protect.exe
با باز شدن فایلهای مذکور فرمان زیر را برای کامپایل کردن boot.asm در boot.bin اجرا میکند:
- [Downloaded_Folder]\70281251\assembler.exe” -f bin “[Downloaded_Folder]\70281251\boot.asm” -o “[Downloaded_Folder]\70281251\boot.bin”
به محض کامپایل شدن boot.bin، باجافزار، boot.asm و assembly.exe را از روی دستگاه حذف میکند.
در ادامه فایل overwrite.exe بخش MBR دستگاه را با boot.bin کامپایل شده رونویسی میکند.
سپس برنامه main.exe اجرا شده و با پویش کردن دستگاه، فایلهای اجرایی، DLL و دادهای را رمزگذاری کرده و به آنها پسوند locked. را الصاق میکند.
همچنین main.exe برنامه protect.exe را نیز برای مسدودسازی برنامههای تحلیلگر بدافزار اجرا میکند.
پس از اتمام فرآیند رمزگذاری دستگاه راهاندازی مجدد شده و بجای بالا آمدن Windows اطلاعیه باجگیری که توسط بخش MBR جایگزین شده ایجاد گردیده نمایش داده میشود.
در اطلاعیه مذکور از قربانی خواسته میشود تا با ارسال شناسه درج شده در پیام به ایمیل redboot@memeware.net دستورالعمل پرداخت باج را دریافت کند.
برخی محققان معتقدند که پیش از دستدرازی باجافزار به جدول پارتیشنها روشی برای بازگرداندن آن به حالت قبل در نظر گرفته نشده است؛ در صورت صحیح بودن این نظریه، امکان بازگرداندن دادهها به حالت قبل حتی در صورت در اختیار داشتن کلید رمزگشایی فایلهای بر روی دستگاه ناممکن خواهد بود.
مشخص نیست که در نظر گرفته نشدن روشی برای بازگردانی جدول پارتیشنها صرفاً یک باگ برنامهنویسی است یا نیت واقعی نویسنده یا نویسندگان، اجرای بدافزاری از نوع Wiper در ظاهر باجافزار بر روی اهدافشان است.
هدف قرار دادن بخش MBR توسط نویسندگان باجافزار موضوع جدیدی نیست. Petya معروفترین باجافزاری است که با رمزگذاری بخش Master Boot Record دیسک سخت، کامپیوتر را غیرقابل راهاندازی میکند.
نمونه بررسی شده در این خبر با نامهای زیر شناسایی میشود:
McAfee:
– Generic Trojan.i
Bitdefender:
– Trojan.Ransom.RedBoot.A