35MB grote ransomware speelt 'enge' geluiden af en vervangt MBR

[Captain Kirk]

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat met zijn 35 megabyte opmerkelijk groot is en de Master Boot Record (MBR) van de harde schijf vervangt. De omvang van de RedEye-ransomware is te verklaren door drie wav-bestanden en verschillende afbeeldingen.

De drie audiobestanden worden gebruikt voor het afspelen van een "eng" geluid, dat als doel heeft om de gebruiker bang te maken, aldus onderzoeker Bart Blaze. Naast het versleutelen van bestanden vervangt de ransomware ook de MBR van de harde schijf. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten.

De ransomware zegt dat het bestanden met AES256 versleutelt, maar Blaze ontdekte dat de bestanden op zijn machine met 0 bytes werden overschreven of gevuld, waardoor ze onbruikbaar werden. Wat ook opvalt is dat de vervangen MBR verwijzingen naar het YouTube-kanaal van de auteur bevat, aldus onderzoeker Jakub Kroustek. Hoe de ransomware wordt verspreid laten de onderzoekers niet weten.

 

 

bron: security.nl