RedBoot es una nueva amenaza vista en
la red que mezcla estos dos conceptos. Este malware, por un lado, cifra uno a
uno todos los datos personales que la víctima tiene guardados en su ordenador,
mientras, por otro lado, cifra también el MBR y modifica la tabla de
particiones, dejando toda la información del disco duro inservible.
Cuando descargamos y ejecutamos este
malware en nuestro ordenador, el archivo principal extrae automáticamente una
serie de archivos en una ruta al azar de nuestro sistema, archivos utilizados
para llevar a cabo la tarea de cifrado:
assembler.exe – herramienta
utilizada para compilar el malware boot.asm para crear el nuevo MBR.
boot.asm – archivo en
ensamblador que forma el nuevo MBR modificado.
boot.bin – el archivo que se
genera cuando se compila el boot.asm.
overwrite.exe – programa utilizado
para escribir el MBR modificado en el disco duro.
main.exe – ransomware que
cifra los datos del PC.
protect.exe – Herramienta
maliciosa utilizada para finalizar varios procesos (antivirus, por ejemplo) e
impedir su ejecución.
Así funciona el
peligroso ransomware Paradise que usa cifrado RSA
Cuando se ejecuta el malware, lo
primero que hace es compilar el nuevo y modificado MBR y, a continuación,
escribirlo en el disco duro. Tras ello, ejecutará el programa “protect.exe”
para bloquear los antivirus y empezará a analizar y cifrar uno a uno todos los
datos almacenados en el disco duro, archivos a los que se añadirá la extensión
“.locked“.
Una vez termina el cifrado, el malware
reinicia automáticamente el PC pero, en lugar de cargar directamente Windows,
nos mostrará una pantalla roja como la siguiente.
Por un fallo o a
propósito, RedBoot, aunque tenemos un ID, no permite recuperar los archivos
Tal como nos cuentan los expertos de
seguridad de Bleeping Computer, aunque a grandes rasgos debería permitir la
recuperación de los archivos, este ransomware no lo permite.
No se sabe si es por un error o
despiste del pirata informático o está hecho a propósito, pero, salvo que al
pagar se facilite una herramienta que permita arrancar el ordenador en modo
“live” para descifrar el MBR (cosa bastante improbable), este ransomware no
tiene forma de introducir una clave de descifrado manualmente, por lo que más
que ransomware parece un “wiper” que, aunque paguemos, no nos recuperará los
datos.
Fuente: Bleeping Computer
