Aunque generalmente solemos referirnos como ransomware a todo aquel malware que secuestra, cifra y/o nos hace perder nuestros datos, en realidad, técnicamente, no es así. Además del ransomware tal y como lo conocemos (malware que cifra nuestros datos y nos pide el pago de un rescate por ellos), existe una herramienta que funciona de forma similar, ataca los datos, los cifra (o cifra el MBR) pero no permite la recuperación de los datos, ya sea por la ausencia de clave o por la falta de herramienta para descifrar los datos, lo que conocemos como Wiper. También hay amenazas que mezclan estos dos conceptos en uno solo, como el nuevo y peligroso RedBoot.
RedBoot es una nueva amenaza vista en la red que mezcla estos dos conceptos. Este malware, por un lado, cifra uno a uno todos los datos personales que la víctima tiene guardados en su ordenador, mientras, por otro lado, cifra también el MBR y modifica la tabla de particiones, dejando toda la información del disco duro inservible.
Cuando descargamos y ejecutamos este malware en nuestro ordenador, el archivo principal extrae automáticamente una serie de archivos en una ruta al azar de nuestro sistema, archivos utilizados para llevar a cabo la tarea de cifrado:
- assembler.exe – herramienta utilizada para compilar el malware boot.asm para crear el nuevo MBR.
- boot.asm – archivo en ensamblador que forma el nuevo MBR modificado.
- boot.bin – el archivo que se genera cuando se compila el boot.asm.
- overwrite.exe – programa utilizado para escribir el MBR modificado en el disco duro.
- main.exe – ransomware que cifra los datos del PC.
- protect.exe – Herramienta maliciosa utilizada para finalizar varios procesos (antivirus, por ejemplo) e impedir su ejecución.
Cuando se ejecuta el malware, lo primero que hace es compilar el nuevo y modificado MBR y, a continuación, escribirlo en el disco duro. Tras ello, ejecutará el programa “protect.exe” para bloquear los antivirus y empezará a analizar y cifrar uno a uno todos los datos almacenados en el disco duro, archivos a los que se añadirá la extensión “.locked“.
Una vez termina el cifrado, el malware reinicia automáticamente el PC pero, en lugar de cargar directamente Windows, nos mostrará una pantalla roja como la siguiente.
Por un fallo o a propósito, RedBoot, aunque tenemos un ID, no permite recuperar los archivos
Tal como nos cuentan los expertos de seguridad de Bleeping Computer, aunque a grandes rasgos debería permitir la recuperación de los archivos, este ransomware no lo permite.
No se sabe si es por un error o despiste del pirata informático o está hecho a propósito, pero, salvo que al pagar se facilite una herramienta que permita arrancar el ordenador en modo “live” para descifrar el MBR (cosa bastante improbable), este ransomware no tiene forma de introducir una clave de descifrado manualmente, por lo que más que ransomware parece un “wiper” que, aunque paguemos, no nos recuperará los datos.
¿Qué opinas de este ransomware? ¿Crees que los piratas informáticos van por delante de las empresas de seguridad con el ransomware, los wiper y otras amenazas similares cada vez más peligrosas?
Fuente: https://www.redeszone.net/2017/09/25/redboot-ransomware-wiper/