Malware Blocker研究人員發(fā)現(xiàn)新型Bootlocker（引導(dǎo)鎖定）勒索軟件，名為“RedBoot”。這款勒索軟件會加密被感染電腦上的文件，替換系統(tǒng)驅(qū)動器的主引導(dǎo)記錄（MBR），之后修改分區(qū)表。

主引導(dǎo)記錄（MBR）:

主引導(dǎo)記錄（MBR，Main Boot Record）是位于磁盤最前邊的一段引導(dǎo)（Loader）代碼。它負(fù)責(zé)磁盤操作系統(tǒng)(DOS)對磁盤進(jìn)行讀寫時分區(qū)合法性的判別、分區(qū)引導(dǎo)信息的定位，它由磁盤操作系統(tǒng)(DOS)在對硬盤進(jìn)行初始化時產(chǎn)生的。

研究人員注意到，沒有辦法通過解密密鑰恢復(fù)主引導(dǎo)記錄和分區(qū)表，由此判斷這款軟件可能是刪除軟件。

當(dāng)受害者執(zhí)行RedBoot勒索軟件時會提取5個文件到含啟動器目錄的隨機文件夾中。

　　這5個文件如下：

boot.asm. –編譯成新主引導(dǎo)記錄的匯編文件。當(dāng)boot.asm被編譯時，它會生成boot.bin文件。

assembler.exe –nasm.exe的重命名副本，用來將boot.asm匯編文件編譯成主引導(dǎo)記錄boot.bin文件。

main.exe –用戶模式加密器，負(fù)責(zé)加密計算機上的文件。

overwrite.exe. –使用新編譯的boot.bin文件重寫主引導(dǎo)記錄。

protect.exe –可執(zhí)行文件，終止并防止程序運行，例如任務(wù)管理器和進(jìn)程管理器Process Hacker。

一旦提取文件，主啟動器將會編譯boot.asm文件生成boot.bin。啟動器負(fù)責(zé)執(zhí)行如下命令：

[Downloaded_Folder]8281251assembler.exe" -f bin "[Downloaded_Folder]8281251oot.asm" -o "[Downloaded_Folder]8281251oot.bin

一旦完成boot.bin的編譯，啟動器將刪除boot.asm和assembly.exe文件，之后利用overwrite.exe程序借助編譯過的boot.bin，使用如下命令重寫當(dāng)前主引導(dǎo)記錄。

"[Downloaded_Folder]8945836overwrite.exe" "[Downloaded_Folder]8945836oot.bin"

接下來，這款惡意軟件開始啟動加密進(jìn)程，啟動器將啟動main.exe，掃描設(shè)備上的文件，將.locked擴展名附加到每個加密文件。main.exe還將執(zhí)行protect.exe組件，以阻止任何以停止感染的軟件執(zhí)行。

加密所有文件后，RedBoot勒索軟件將重啟電腦，并顯示勒索信。

勒索信會指引受害者將ID密鑰發(fā)送至電子郵件收件人redboot@memeware.net，從而了解支付指南。

然而，遺憾的是，即使受害者聯(lián)系了惡意軟件開發(fā)人員并支付了贖金，硬盤驅(qū)動器仍可能無法恢復(fù)，因為RedBoot勒索軟件會永久修改分區(qū)表。

Lawrence Abrams（勞倫斯·愛不拉姆斯）發(fā)布的分析報告指出，雖然這是一款全新的勒索軟件，目前仍在研究當(dāng)中。但初步分析表明，除了除了加密文件和重寫的主引導(dǎo)記錄，這款勒索軟件還可能修改分區(qū)表，而攻擊者不會提供任何恢復(fù)方法。

Abrams總結(jié)稱，雖然這款勒索軟件執(zhí)行標(biāo)準(zhǔn)的用戶模式加密，修改分區(qū)表，再加上無法通過解密密鑰恢復(fù)，這些特征可能表明這是一款披著勒索軟件外衣的刪除軟件。由于開發(fā)者使用腳本語言（例如AutoIT）開發(fā)這款軟件，目前仍無法排除這只是開發(fā)人員在開發(fā)期間犯下的錯誤的可能。