O recém-descoberto RedBoot ransomware pode alterar registros de inicialização mestre, alterar tabelas de partição e criptografar arquivos. A pior parte? A análise precoce aponta para que tudo seja irrecuperável.
Um resgate recentemente descoberto chamado RedBoot é um dos mais perigosos ainda. Não só criptografa arquivos, mas também altera a tabela de partição e a gravação mestre de inicialização (MBR) para causar o que parece ser um dano permanente.
Pesquisas iniciais sobre o RedBoot não criaram um servidor de comando e controle, nem os ransomers pediram pagamento Bitcoin. Esses fatos, juntamente com o que parece ser criptografia irreparável, levam alguns a acreditar que o RedBoot foi projetado para causar danos.
É possÃvel que o RedBoot esteja mal codificado, onde Lawrence Abrams of Bleeping Computer está se inclinando .
Se você está preocupado com a captura do RedBoot, você não precisa estar ainda. O desenvolvedor da RedBoot contatou Abrams e disse-lhe que a versão atual é uma compilação de desenvolvimento. A versão final, disse o desenvolvedor, estará em outubro.
É quando você precisará começar a se preocupar.
Como RedBoot destrói computadores
A versão atual do RedBoot vem como um executável AutoIT compilado que extrai em cinco componentes: um assembler, um boot.asm que o montador se transforma em boot.bin, um executável de substituição que transforma boot.bin no novo MBR, um executável que criptografa arquivos, e outro executável que impede a execução de programas como Gerenciador de Tarefas e Process Hacker.
SEE: Ransomware: o guia da pessoa inteligente (TechRepublic)
Depois que o RedBoot funcionar, ele reinicia o computador e o novo MBR simplesmente é inicializado em uma tela vermelha que contém uma mensagem informando que o computador foi criptografado e para entrar em contato com o desenvolvedor para instruções de desbloqueio.
Como parte de sua sequência de execução, o RedBoot também altera a tabela de partição e Abrams não descobriu uma maneira de reverter.
Mal codificado ou não, o RedBoot é uma séria ameaça.
Proteção preventiva
Não há como saber como o RedBoot se propagará em outubro, e isso é preocupante considerando todos os danos que poderia fazer.
SEE: Pacote de Testes de Penetração e Investigação Forense (TechRepublic Academy)
As empresas e os indivÃduos preocupados com a perda permanente de arquivos devem garantir que as estações de trabalho sejam copiadas em alguma forma de armazenamento em rede ou em nuvem, as definições de software antivÃrus estão atualizadas e os usuários são treinados para evitar fraudes de phishing e outros.
Não é frequente que uma séria ameaça cibernética seja identificada enquanto ainda está em desenvolvimento, nem é comum que o desenvolvedor deixe o mundo saber quando será lançado. Com essa informação disponÃvel, é importante avaliar seu nÃvel de prontidão agora.
O lançamento de outubro da RedBoot pode ser inconsequente, ou pode ser uma epidemia que paralisa as empresas e destrói permanentemente os dados. Aproveite esta oportunidade para garantir o seu lugar na porcentagem de empresas que não são afetadas por esta nova forma de malware altamente letal.
Os três principais takeaways para os leitores TechRepublic:
- Uma nova forma de malware chamada RedBoot pode fazer mais do que apenas criptografar dados: também modifica o MBR e a tabela de partição para causar danos irreparáveis.
- A RedBoot ainda está em desenvolvimento, e seu programador diz que uma versão final será lançada em outubro. É impossÃvel dizer neste ponto quais recursos adicionais podem ser adicionados.
- RedBoot tem o potencial de ser destrutivo, mas sabemos quando está chegando. Aproveite o tempo agora para garantir que os arquivos sejam copiados e outras medidas de segurança estão em vigor para evitar um surto potencialmente devastador.