BooM Ransomware
Variants: Boom, Epsilon, Revenge
BooM NextGen Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BooM Ransomeware. На файле написано: BooM Ransomeware.exe. Разработчик: Mohamed Naser Ahmed. Вымогатель сам сообщил свои данные в социальной сети Facebook для связи. На момент написания статьи его страница уже заблокирована. Позже появились новые варианты, в том числе и заметно переделанные.
---
Обнаружения:
DrWeb -> Trojan.Encoder.94, Trojan.Encoder.33426
ALYac -> Trojan.Ransom.Xorist
Avira (no cloud) -> TR/Ransom.Xorist.EJ
BitDefender -> Gen:Variant.Ransom.Boom.1, Trojan.Ransom.AIG
ESET-NOD32 -> A Variant Of MSIL/Kryptik.OLL, A Variant Of Win32/Filecoder.Q
Kaspersky -> Trojan-Ransom.Win32.Xorist.ln
Malwarebytes -> Malware.AI.2631900683, Ransom.Xorist
Microsoft -> Ransom:Win32/Sorikrypt
Qihoo-360 -> Win32/Ransom.Xorist.HgIASOcA
Rising -> Ransom.Sorikrypt!8.8822 (CLOUD)
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Xorist.Wptd, Trojan.Win32.CryptoTorLocker2015.a
TrendMicro -> Ransom_Sorikrypt.R002C0DAQ21, Ransom_XORIST.SMA
---© Генеалогия: Xorist >> BooM > BooM + HiddenTear ⇒ EpsilonCrypt
© Генеалогия: Xorist >> BooM > BooM + другой код > Revenge
Знак "⇒" означает переход на другую разработку. См. Генеалогия.
К зашифрованным файлам добавляется расширение: .Boom
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образец этого крипто-вымогателя был найден в начале января 2019 г. Штамп времени создания: 23 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt
Содержание записки о выкупе:
How to decrypt files
Get your pin
Put it in the virus
In order to extract the password to decrypt the files
In a folder on your desktop
Then put it in a password in the small window that will show you
For pin
Talk to me on Facebook
My name = Mohamed Naser Ahmed
my ID = 100027091457754
Перевод записки на русский язык:
Как расшифровать файлы
Получи свой пин
Поместите это в вирус
Чтобы извлечь пароль для расшифровки файлов
В папке на рабочем столе
Затем введите пароль в маленьком окне, которое покажет вам
Для pin
Поговори со мной на Facebook
Меня зовут Мохамед Насер Ахмед
мой ID = 100027091457754
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходит, требуется рарешение на запуск.
Информация для расшифровки:
PIN: 47848486454474431000546876341354
Password: M95r2jRwkP87rnWt1p281X1u
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
BooM Ransomeware.exe
b00m.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
HKEY_CLASSES_ROOT\.Boom
HKEY_CLASSES_ROOT\SSTWIPNUVDUSGRM
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >> VT> VT>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
BooM Ransomware - январь 2019
Epsilon Ransomware - январь 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 5 января 2019:
Пост в Твиттере >>
Текстовая записка, некий экран блокировки или HTA-файл.
PIN: 34584384186746875497
Password: B3ht4w316MsyQS47Sx18SA4q
Password: B3ht4w316MsyQS47Sx18SA4q
➤ Содержание текста:
Oooooops All your files have been encrypted
And to encode the files, enter the password
to get a password
Search in Facebook
My name = Mohamed Naser Ahmed
my ID = 100027091457754
=== 2021 ===
Вариант от 15 января 2021:
Сообщение >>
Смотрите отдельную статью Epsilon Ransomware >>
Самоназвание: Epsilon Ransomware
Расширение: .[neftet@tutanota.com].boom
Email: neftet@tutanota.com
Записка: READ_ME.hta
Файл: B221.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.HiddenTear.1
Avira (no cloud) -> HEUR/AGEN.1129970
BitDefender -> Generic.Ransom.Small.E850116C
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.Crimson
Microsoft -> Trojan:Win32/Ymacco.AA44
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> TROJ_GEN.R002C0OAF21
Вариант от 26 января 2021:
Самоназвание: Revenge Ransomeware.
Заметно отличается от ранних вариантов.
Распространяется в Китае.
Расширение: .REVENGE
Записка: ReadToRestore.txt
Файл: Ransomeware.exe
Файл проекта: C:\Users\Chien\Desktop\Revenge-Ransomeware-master\Ransomeware\obj\Debug\Ransomeware.pdb
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33426
Avira (no cloud) -> TR/FileCoder.slajl
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> A Variant Of Generik.DGTJBAN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Agent
Microsoft -> Ransom:MSIL/Revenge.DA!MTB
Qihoo-360 -> Win32/Backdoor.Revenge.HgIASO4A
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Msil.Trojan.Encoder.Hryn
TrendMicro -> Ransom_Encoder.R002C0PAT21
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Ранние варианты можно было расшифровать. По более поздним подтверждение не получено.
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as Xorist) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Michael Gillespie, Petrovic Andrew Ivanov GrujaRS
© Amigo-A (Andrew Ivanov): All blog articles.