Обнаружен новый криптоблокер для Windows, способный не только шифровать файлы жертвы, но также переписывать главную загрузочную запись (MBR) и модифицировать таблицу разделов диска — без возможности восстановления.

Вымогатель RedBoot, как его нарекли исследователи, скомпилирован в исполняемый файл с помощью программы AutoIt. При исполнении он извлекает пять файлов, необходимых для замены MBR и выполнения шифрования: boot.asm, assembler.exe, main.exe, overwrite.exe и protect.exe. Последний, как следует из имени, предназначен для блокировки программ, которые можно использовать для анализа или принудительного завершения процессов RedBoot, — в частности, диспетчера задач и менеджера процессов.

За поиск файлов и их шифрование отвечает компонент main.exe. Он шифрует исполняемые файлы, dll, файлы данных, добавляя к итоговому имени расширение .locked. После этого система перезагружается, но вместо экрана Windows жертва видит сообщение с требованием выкупа, идентификатором и почтовым адресом, на который следует отправить этот ID.

Предварительный анализ показал, что, помимо шифрования файлов и перезаписи MBR, новоявленный вымогатель способен также изменить схему разбиения диска. К сожалению, в текущей версии RedBoot модификация таблицы разделов необратима, и уплата выкупа не поможет ее восстановить.

В заключение следует отметить, что шифровальщики, умеющие манипулировать MBR, встречались и ранее — достаточно вспомнить живучего Petya и его агрессивного наследника NotPetya/ExPetr. Значительно меньшее распространение получили Satana, Mamba/HDDCryptor, GoldenEye.

Категории: Аналитика, Вредоносные программы