Boramae Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма ChaCha20, а затем требует написать вымогателям через мессенджер Session, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.MulDrop29.16566
BitDefender -> Trojan.GenericKD.76035826
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Beast
Microsoft -> Ransom:Win32/Beast.YAP!MTB
Rising -> Ransom.Agent!8.6B7 (TFE:5:jgbjK5dW7F)
Обнаружения:
DrWeb -> Trojan.MulDrop29.16566
BitDefender -> Trojan.GenericKD.76035826
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Beast
Microsoft -> Ransom:Win32/Beast.YAP!MTB
Rising -> Ransom.Agent!8.6B7 (TFE:5:jgbjK5dW7F)
Symantec -> Ransom.Beast
Tencent -> Malware.Win32.Gencirc.10c3032aTrendMicro -> Trojan.Win32.VSX.PE04C9V
---
© Генеалогия: Beast >> Boramae (улучшенный вариант Beast)
Информация для идентификации
Активность этого крипто-вымогателя была в начале марта 2025 г., но создан он был в феврале 2025. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .boramae
Фактические используется шаблон: .{victim ID}.boramae
Записка с требованием выкупа называется: README.txt
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Сравнение Beast и Boramae от ThreatRay
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
encrypter-windows-gui-x86.exe, shapteam.exe - названия вредоносных файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: boramae@mailum.com
Session messenger
Фактические используется шаблон: .{victim ID}.boramae
Примеры расширений зашифрованных файлов:
.{3233CA5F-422E-EB2E-914B-5F2CBAAA094E}.boramae
.{E7C3A206-FB98-EBF8-914B-5F2CBAAA094E}.boramae
Записка с требованием выкупа называется: README.txt
Содержание записки о выкупе:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work.
2. Its only takes for us at list 20 minutes after payment to completely decrypt you,
to its original state, it's very simple for us!
3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit!
4.They also contact the police. Again, only you suffer from this treatment!
5. We have developed a scheme for your secure decryption without any problems, unlike the above companies,
who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue!
6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure!
We will also publicize this attack using social networks and other media, which will significantly affect your reputation!
7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards!
8. Do not under any circumstances try to decrypt the files yourself; you will simply break them!
YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!!
9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM !
10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!!
Contacts :
Download the (Session) messenger (https://getsession.org) You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d"
MAIL:boramae@mailum.com
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Сравнение Beast и Boramae от ThreatRay
Анализ кода показал, что Beast и Boramae имеют практически идентичный код. Но образец Boramae статически связан с OpenSSL 1.1.0, что значительно увеличило размер его кода. При этом как Beast содержит около 150 функций, а вариант Boramae около 2500 функций, что значительно усложняет анализ. Исследователи определили использование OpenSSL на уровне функций и изолировали функции вредоносного ПО для прямого сравнения.
Основные различия заключаются в методах обфускации строк. В то время как некоторые строки в варианте используют сложенный формат, другие сохраняют исходный формат Beast с помощью strcpy. Процедура расшифровки XOR в варианте значительно сложнее — вместо использования фиксированного ключа для расшифровки строк он сохраняет ключ в первых 4 байтах входной строки. Затем этот ключ увеличивается на 1 для каждой операции XOR над отдельными буквами, что делает его более сложным, чем исходная версия Beast. Помимо более сложной процедуры дешифрования XOR, в некоторых случаях вместо простых операций XOR используется вычитающее дешифрование.
Вариант Boramae улучшает оригинальный метод сокрытия строк Beast, включая дополнительные методы обфускации: сложенные строки, инкрементное шифрование потока ключей на основе XOR и дешифрование на основе вычитания.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
encrypter-windows-gui-x86.exe, shapteam.exe - названия вредоносных файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: boramae@mailum.com
Session messenger
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: f1ade7769b7fdc2401798106ec7a9180
SHA-1: 61bd89ed258c4ed8901c6f02e18743607b52247e
SHA-256: 5bd8f9cbd108abc53fb1c44b8d10239a2a0a9dd20c698fd2fb5dc1938ae7ba96
Vhash: 016046656d656290101070200841z23z6025z9050022z400157z
Imphash: 4580f6d5135a499d1a67b6e3dfc41bd8
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support Added later: Write-up
Thanks: dnwls0719, CYFIRMA, petik, rivitna Andrew Ivanov (article author) Threatray to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.