BooM

BooM Ransomware

Variants: Boom, Epsilon, Revenge

BooM NextGen Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BooM Ransomeware. На файле написано: BooM Ransomeware.exe. Разработчик: Mohamed Naser Ahmed. Вымогатель сам сообщил свои данные в социальной сети Facebook для связи. На момент написания статьи его страница уже заблокирована. Позже появились новые варианты, в том числе и заметно переделанные. 
---

Обнаружения: 

DrWeb -> Trojan.Encoder.94, Trojan.Encoder.33426

ALYac -> Trojan.Ransom.Xorist

Avira (no cloud) -> TR/Ransom.Xorist.EJ

BitDefender -> Gen:Variant.Ransom.Boom.1, Trojan.Ransom.AIG

ESET-NOD32 -> A Variant Of MSIL/Kryptik.OLL, A Variant Of Win32/Filecoder.Q

Kaspersky -> Trojan-Ransom.Win32.Xorist.ln

Malwarebytes -> Malware.AI.2631900683, Ransom.Xorist

Microsoft -> Ransom:Win32/Sorikrypt

Qihoo-360 -> Win32/Ransom.Xorist.HgIASOcA

Rising -> Ransom.Sorikrypt!8.8822 (CLOUD)

Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Xorist.Wptd, Trojan.Win32.CryptoTorLocker2015.a

TrendMicro -> Ransom_Sorikrypt.R002C0DAQ21, Ransom_XORIST.SMA

---

© Генеалогия: Xorist >> BooM > BooM + HiddenTear ⇒ EpsilonCrypt

© Генеалогия: Xorist >> BooM > BooM + другой код > Revenge

Знак "⇒" означает переход на другую разработку. См. Генеалогия. 

К зашифрованным файлам добавляется расширение: .Boom

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале января 2019 г. Штамп времени создания: 23 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
How to decrypt files
Get your pin
Put it in the virus
In order to extract the password to decrypt the files
In a folder on your desktop
Then put it in a password in the small window that will show you
For pin
Talk to me on Facebook
My name = Mohamed Naser Ahmed
my ID = 100027091457754

Перевод записки на русский язык:
Как расшифровать файлы
Получи свой пин
Поместите это в вирус
Чтобы извлечь пароль для расшифровки файлов
В папке на рабочем столе
Затем введите пароль в маленьком окне, которое покажет вам
Для pin
Поговори со мной на Facebook
Меня зовут Мохамед Насер Ахмед
мой ID = 100027091457754

Запиской с требованием выкупа также выступает экран блокировки (или HTA-файл) и изображение, встающее обоями Рабочего стола.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит, требуется рарешение на запуск. 

Информация для расшифровки: 
PIN: 47848486454474431000546876341354
Password: M95r2jRwkP87rnWt1p281X1u

  

На момент написания статьи страница разработчика BooM Ransomware в социальной сети Facebook уже была заблокирована.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
BooM Ransomeware.exe
b00m.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CLASSES_ROOT\.Boom
HKEY_CLASSES_ROOT\SSTWIPNUVDUSGRM
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT> VT>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BooM Ransomware - январь 2019

Epsilon Ransomware - январь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 5 января 2019:
Пост в Твиттере >>
Текстовая записка, некий экран блокировки или HTA-файл.

PIN: 34584384186746875497
Password: B3ht4w316MsyQS47Sx18SA4q

➤ Содержание текста: 

Oooooops All your files have been encrypted

And to encode the files, enter the password

to get a password

Search in Facebook

My name = Mohamed Naser Ahmed

my ID = 100027091457754

 

Результаты анализов: VT + HA

=== 2021 ===

Вариант от 15 января 2021:
Сообщение >>

Смотрите отдельную статью Epsilon Ransomware >>

Самоназвание: Epsilon Ransomware

Расширение: .[neftet@tutanota.com].boom

Email: neftet@tutanota.com

Записка: READ_ME.hta

Файл: B221.exe

Результаты анализов: VT + IA + VMR

➤ Обнаружения: 

DrWeb -> Trojan.EncoderNET.HiddenTear.1

Avira (no cloud) -> HEUR/AGEN.1129970

BitDefender -> Generic.Ransom.Small.E850116C

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK

Malwarebytes -> Ransom.Crimson

Microsoft -> Trojan:Win32/Ymacco.AA44

Symantec -> Ransom.HiddenTear!g1

TrendMicro -> TROJ_GEN.R002C0OAF21

Вариант от 26 января 2021:

Сообщение >>

Самоназвание: Revenge Ransomeware.

Заметно отличается от ранних вариантов. 

Распространяется в Китае. 

Расширение: .REVENGE

Записка: ReadToRestore.txt

Файл: Ransomeware.exe

Файл проекта: C:\Users\Chien\Desktop\Revenge-Ransomeware-master\Ransomeware\obj\Debug\Ransomeware.pdb

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33426

Avira (no cloud) -> TR/FileCoder.slajl

BitDefender -> Gen:Heur.Ransom.MSIL.1

ESET-NOD32 -> A Variant Of Generik.DGTJBAN

Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen

Malwarebytes -> Ransom.Agent

Microsoft -> Ransom:MSIL/Revenge.DA!MTB

Qihoo-360 -> Win32/Backdoor.Revenge.HgIASO4A

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Tencent -> Msil.Trojan.Encoder.Hryn

TrendMicro -> Ransom_Encoder.R002C0PAT21

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Ранние варианты можно было расшифровать. 
По более поздним подтверждение не получено. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Petrovic
 Andrew Ivanov
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.