Malware Blocker研究人員發現新型Bootlocker（引導鎖定）勒索軟件，名為“RedBoot”。這款勒索軟件會加密被感染電腦上的文件，替換系統驅動器的主引導記錄（MBR），之后修改分區表。

主引導記錄（MBR）:

主引導記錄（MBR，Main Boot Record）是位于磁盤最前邊的一段引導（Loader）代碼。它負責磁盤操作系統(DOS)對磁盤進行讀寫時分區合法性的判別、分區引導信息的定位，它由磁盤操作系統(DOS)在對硬盤進行初始化時產生的。

研究人員注意到，沒有辦法通過解密密鑰恢復主引導記錄和分區表，由此判斷這款軟件可能是刪除軟件。

當受害者執行RedBoot勒索軟件時會提取5個文件到含啟動器目錄的隨機文件夾中。

　　這5個文件如下：

boot.asm. –編譯成新主引導記錄的匯編文件。當boot.asm被編譯時，它會生成boot.bin文件。

assembler.exe –nasm.exe的重命名副本，用來將boot.asm匯編文件編譯成主引導記錄boot.bin文件。

main.exe –用戶模式加密器，負責加密計算機上的文件。

overwrite.exe. –使用新編譯的boot.bin文件重寫主引導記錄。

protect.exe –可執行文件，終止并防止程序運行，例如任務管理器和進程管理器Process Hacker。

一旦提取文件，主啟動器將會編譯boot.asm文件生成boot.bin。啟動器負責執行如下命令：

[Downloaded_Folder]8281251assembler.exe" -f bin "[Downloaded_Folder]8281251oot.asm" -o "[Downloaded_Folder]8281251oot.bin

一旦完成boot.bin的編譯，啟動器將刪除boot.asm和assembly.exe文件，之后利用overwrite.exe程序借助編譯過的boot.bin，使用如下命令重寫當前主引導記錄。

"[Downloaded_Folder]8945836overwrite.exe" "[Downloaded_Folder]8945836oot.bin"

接下來，這款惡意軟件開始啟動加密進程，啟動器將啟動main.exe，掃描設備上的文件，將.locked擴展名附加到每個加密文件。main.exe還將執行protect.exe組件，以阻止任何以停止感染的軟件執行。

加密所有文件后，RedBoot勒索軟件將重啟電腦，并顯示勒索信。

勒索信會指引受害者將ID密鑰發送至電子郵件收件人[email protected]，從而了解支付指南。

然而，遺憾的是，即使受害者聯系了惡意軟件開發人員并支付了贖金，硬盤驅動器仍可能無法恢復，因為RedBoot勒索軟件會永久修改分區表。

Lawrence Abrams（勞倫斯·愛不拉姆斯）發布的分析報告指出，雖然這是一款全新的勒索軟件，目前仍在研究當中。但初步分析表明，除了除了加密文件和重寫的主引導記錄，這款勒索軟件還可能修改分區表，而攻擊者不會提供任何恢復方法。

Abrams總結稱，雖然這款勒索軟件執行標準的用戶模式加密，修改分區表，再加上無法通過解密密鑰恢復，這些特征可能表明這是一款披著勒索軟件外衣的刪除軟件。由于開發者使用腳本語言（例如AutoIT）開發這款軟件，目前仍無法排除這只是開發人員在開發期間犯下的錯誤的可能。