RedBoot es un malware que prácticamente se está desarrollando para dañar permanentemente el sistema y datos almacenados.
Descubierto por Malware_Blocker, RedBoot ha sido clasificado como un ransomware bootlocker que cifra archivos, reemplaza el MBR (Master Boot Record) de la unidad del sistema, y modifica la tabla de particiones del sistema.
De acuerdo con Bleeping Computer, RedBoot es un ejecutable AutoIT compilado y cuando es ejecutado deposita los componentes del malware en una carpeta aleatoria en el directorio donde se ejecutó. Estos componentes son:
- Un programa ensamblador
- Un archivo boot.asm, que el ensamblador convierte en boot.bin o sea el nuevo MBR.
- Un ejecutable overwrite.exe para sobreescribir el MBR.
- Un ejecutable para cifrar los archivos
- Un ejecutable que impide la ejecución de programas, como Task Manager y Process Hacker.
Los archivos ejecutables, DLLs, y de datos son cifrados. El malware agrega la extensión .locked al nombre del archivo cifrado. Al terminar su trabajo, RedBoot reinicia el equipo y el nuevo MBR muestra la pantalla de rescate:
Al parecer las víctimas del malware no podrán restaurar el sistema, aún pagando el rescate. El análisis del malware muestra la inexistencia de un método para restaurarlo, por lo que el daño sería permanente al ser irrecuperable el disco afectado.
De acuerdo con el autor del malware, el análisis fue hecho sobre una versión en desarrollo y en octubre habrá una nueva versión. Se desconoce si será la versión definitva y la forma de su distribución.
Es recomendable mantener los respaldos actualizados de los datos y alojarlos en unidades externas al equipo, preferentemente uno en medio removible y otro en la nube.
Los equipos deben estar protegidos con soluciones de seguridad anti-virus, anti-malware, anti-ransomware, y quizás anti-exploit por si acaso el método de distribución conlleva intentos de explotación de vulnerabilidades. Mantener actualizadas estas soluciones es un imperativo.
Sensibilizar a los usuarios para que no hagan caso de mensajes de email por más tentadora que sea la oferta y caer en trampas phishing.