باج افزار Redboot علاوه بر رمزنگاری درایور های پارتیشن را خراب میکند

باج افزار Redboot علاوه بر رمزنگاری درایور های پارتیشن را خراب میکند

باج افزار جدید Redboot پس از رمزنگاری درایور های ویندوز را غیر قابل دسترس میکند.

یک باج افزار جدید که بخش بوت را رمزنگاری میکند توسط تیم گزارش Malware Blocker شناسایی شد که زمانی که اجرا میشود فایل های سیستم را رمزنگاری میکند و جایگزین MBR درایور ها میشود که منجر به ایجاد تغییراتی در پارتیشن بندی سیستم و درایور ها میشود.

همینطور باج افزار راهی برای باز گردانی کلید MBR و پارتیشن بندی قرار نمیدهد در صورتی که باج گیران یک رمز گشای قابل بوت توزیع کنند.

پروسه ی رمزنگاری RedBoot

زمانی که باج افزار RedBoot که شامل یک فایل به نام AutoIT که خاصیت اجرایی دارد میشود، زمان استخراج خود، پنج فایل را در داخل یک پوشه ای که خود فایل قرار دارد پیاده میکند. نام فایل ها به شرح ذیل است:

  • Assembler.exe – این یک فایل نامگذاری کپی شده از nasm.exe میباشد که در اجرای فایل boot.asm برای ا تغییر در MBR صورت میگیرد.
  • Boot.asm این فایل، یک فایل پیکر بندی شده که در پارتیشن جدید ایجاد شده توسط باج افزار جا میگیرد.

  • Boot.bin – زمانی که فایل Boot.asm با فایل assembly.exe ادغام شود، فایل جدید Boot.bin را تهیه میکند
  • Overwrite.exe این برنامه وظیفه ی بازنویسی جدید MBR را دارد و اینکار را با کمک فایل Boot.bin انجام میدهد.
  • Main.exe این فایل رمزنگار حالت کاربری میباشد که اقدام به رمزنگاری و کد سازی فایل های سیستم میکند.
  • Project.exe – این فایل اجرایی باعث اتمام و جلوگیری از اجرای دیگر نرم افزار های سیستم میشود که شامل task manager و Processhacker میباشد.

 

به محض اینکه فایل ها اجرا شوند، فایل main اجرایی فرمان های زیر را اجرا میکند: 

[Downloaded_Folder]70281251assembler.exe" -f bin "[Downloaded_Folder]70281251boot.asm" -o "[Downloaded_Folder]70281251boot.bin" 

زمانی که boot.bin گردآوری شود، فایل لانچر boot.asm و assembly.exe را از سیستم پاک میکند. سپس از فایل overwrite.exe استفاده میکند تا مستر بوت سیستم را با استفاده از فرمان زیر بازنویسی کند.

"[Downloaded_Folder]70945836overwrite.exe" "[Downloaded_Folder]70945836boot.bin"
 

بعد از این اقدامات فایل main.exe اجرا میشود که سیستم را برای رمزنگاری فایل ها اسکن میکند. برنامه main.exe، فایل protect.exe را نیز اجرا میکند که دیگر نرم افزار های احتمالی که ممکن است از رویه رمزنگاری جلوگیری کنند را متوقف میکند.

در حالی که main.exe فایل ها را رمزنگاری میکند، فایل های اجرایی، dll و اطلاعات معمولی را نیز رمزنگاری میکند و پسوند .locked را به آنان اضافه میکند.

زمانی که پروسه ی رمزنگاری تمام میشود، سیستم قربانی ریبوت میشود. و به جای بالا آمدن ویندوز، یادداشتی مبنی بر دچار شدن سیستم شما به آلودگی نمایان میشود.

این یادداشت باج افزار قربانی را مجبور به ارسال کلید شناسایی خود میکند تا دستورالعمل های پرداخت را انجام دهد.

در حالی که این باج افزار جدید است و زیر ذره بین قرار دارد. تحلیل های اولیه نشان میدهد که این باج افزار میتواند به شدت خطرناک باشد. این بدین معناست که ممکن است این باج افزار راهی برای باز گردانی تغییرات اعمال شده بر پارتیشن بندی ندارد.

حتی اگر قربانی با باج گیران تماس گیرد و مبلغ باج را پرداخت کند. هارد درایو به احتمال زیاد قابل بازگردانی نباشد. در حال حاضر چیز دیگری در رابطه با این باج افزار موجود نیست. در صورت اطلاعات بیشتر، این مطلب به روز رسانی میشود.

چگونه از اطلاعات و سیستم خود محافظت کنیم؟
یکی از موثرترین راه‌ها برای محافظت در برابر باج‌افزارها این است که به طور دائم از داده‌های خود پشتیبان‌گیری کرده و آنها را به صورت آفلاین نگه‌داری کنید. همچنین برای جلوگیری از آلوده شدن به باج‌افزار نیز لازم است از مشاهده سایت‌های مشکوک خودداری کرده و ایمیل‌های مشکوک را باز نکنید.

همچنین استفاده از آنتی‌ویروس‌های معتبر و به‌روزرسانی آنها، نصب آخرین وصله‌های نرم‌افزاری (Patch) و غیرفعال کردن ماکروها برای برنامه‌های آفلاین (ماکرو مجموعه‌ای از فرمان‌ها، کلیدها و یا کلیک‌های موس است که موجب سهولت در انجام کارهای تکراری می‌شود) در جهت جلوگیری از آلوده شدن به باج‌افزارها موثر است.

اگر آلوده شدیم چه کار کنیم؟
اگرچه بهترین راه برای مقابله با باج‌افزارها پیش‌گیری و جلوگیری از آلوده شدن به آنهاست، اما با وجود اقدامات امنیتی، باز هم احتمال دسترسی این بدافزارهای امنیتی به سیستم کاربر وجود دارد. در این شرایط ابتدا لازم است کابل شبکه را از سیستم جدا کرد و سپس گزارش این آلودگی را به پلیس داد. البته درصورتی که کاربر پیش از آلوده شدن به باج‌افزار، از داده‌های خود پشتیبان‌گیری کرده باشد، می‌توان داده‌ها را از پشتبیان‌ها به یک محیط امن بازیابی کرد.

پیشگیری و راه حل
به کار گرفتن یک راهکار امنیتی برای سیستم خانگی یا مجموعه ی خود تا حد بسیاری میتواند مانع از آلودگی سیستم های شما بشود. همچنین، همانطور که در بالا توضیح داده شد، بکاپ تنها راه حل یک قربانی میباشد که گرفتار باج افزار شده است. به کار بردن دیگر راهکار ها چون تهیه فایروال و میل سرور نیز کمک شایانی نیز میکند. آنتی ویروس بیت دیفندر میتواند از سیستم شما در برابر باج افزاران محافظت کند. شما میتوانید از دو راهکار بیت دیفندر خانگی و بیت دیفندر سازمانی ( آنتی ویروس سازمانی) استفاده نمایید