Trojan/DOS.RedBoot[Ransom]的首个样本在2021年06月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是加密或锁定用户设备中的文件，同时使其无法访问。它得名于其行为通过加密或锁定用户的文件，迫使用户支付赎金以恢复文件的访问权限。目前Trojan/DOS.RedBoot[Ransom]存在可执行文件、文本至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为

Trojan/DOS.RedBoot[Ransom]会监控用户文件，并对其进行加密，使用户无法正常访问
该病毒具有自我复制和自启动功能，使得难以轻易清除
Trojan/DOS.RedBoot[Ransom]会修改系统设置和注册表，劫持系统功能以达到控制目的
病毒会对抗防病毒软件，尝试关闭或绕过安全软件的检测
它还可能远程操控主机，窃取用户隐私信息，造成更大的危害
Trojan/DOS.RedBoot[Ransom]可能发起DDoS攻击，使目标系统无法正常运行。
样本格式分布
格式类别 占比 格式描述
BinExecute 75.0% 用于执行二进制文件的工具或实用程序
Text 25.0% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet W32/Ransom.REDBOOT!tr
Microsoft Ransom:AutoIt/RedBoot.A
典型变种

Trojan/DOS.RedBoot.a[Ransom]
典型样本

类型 值
MD5 c94da88713cc468a21507e4d9fb401a6
MD5 cc31ad05612d83f676a8f2d74642ceff
MD5 70d83073c952b86ab2e653272bbb2c9e
MD5 90053233e561c8bf7a7b14eda0fa0e84
解决方案

使用可信赖的杀毒软件对系统进行全面扫描，并实时监测病毒活动
定期备份重要文件，以防止文件永久丢失
更新操作系统和安全补丁，弥补系统漏洞
不要随意打开来历不明的邮件附件，以及下载无来源的文件
对系统进行加固，启用防火墙、使用安全密码保护账户
如发现系统异常，及时与网络安全专业人员联系进行处理。