Ransomware Boty (Arquivos .boty)

Ransomware tem muitas faces. No caso do ransomware Boty, é um vírus que visa usuários individuais e, como qualquer outro ransomware, criptografa os arquivos que pode acessar no computador infectado. Além disso, ele desativa suas ferramentas de segurança e torna a rede bastante difícil.

Os arquivos que ele criptografa são muito difíceis de recuperar. O malware usa um algoritmo de criptografia robusto - Salsa20, que provavelmente é impossível de hackear com força bruta. Em seguida, o vírus envia as chaves de descriptografia para seu servidor de comando, que é controlado por criminosos cibernéticos. Esses caras só lhe darão a chave de descriptografia após o pagamento do resgate ou depois de serem capturados pela polícia.

O ransomware Boty é distribuído por meio de canais bastante comuns, usados por vários outros vírus. O software "gratuito", que você pode obter por meio das redes de compartilhamento (eMule, ThePirateBay), é uma casca perfeita para ransomware, porque o usuário provavelmente ignorará todos os alertas dos sistemas de segurança. Após o ataque, eles nem verão nenhum sinal de vida do programa antivírus.

Read also: Phobos Ransomware Mimics VX-Underground Researchers

Processo de criptografia

O ransomware Boty usa o algoritmo de criptografia AES-256. Este não é o método mais forte, mas ainda fornece uma quantidade avassaladora de chaves de descriptografia possíveis. Para quebrar o número de chaves de 78 dígitos, você precisaria de 3,5 unvigintilhões de anos (1*10^65), mesmo que use o computador mais poderoso do mercado. Computadores quânticos podem apresentar resultados um pouco melhores, mas ainda é muito lento para recuperar seus arquivos enquanto você estiver vivo.

O algoritmo exato de criptografia é o seguinte: o malware verifica cada pasta em busca de arquivos que possa criptografar. Então, quando encontra o alvo, faz uma cópia do arquivo, remove o original, criptografa a cópia e a deixa em vez do original removido. Essa operação é feita para evitar a situação em que você já abriu o arquivo, para que o ransomware não possa lê-lo devido às restrições do Windows. Para cada cópia criptografada, o vírus adiciona a extensão específica - ".boty". Em seguida, o ransomware cria um arquivo _readme.txt na pasta em que o arquivo criptografado está localizado e passa para a próxima pasta.

Esse método de criptografia pode ser explorado para a recuperação de arquivos. Como o arquivo original é excluído, você pode tentar recuperá-lo usando ferramentas de recuperação de arquivo. Quanto menos tempo passar, maior será a chance de recuperar seus arquivos, portanto, é importante agir rapidamente!

Outro momento específico que pode ajudá-lo a usar os arquivos mesmo após a criptografia é o fato de que o ransomware Boty criptografa apenas os primeiros 150KB de cada arquivo. Portanto, você pode tentar executar um arquivo grande, como vídeo ou música, sem a criptografia. Recursos semelhantes também funcionam com outras famílias de ransomware - Dharma, Conti e Makop criptografam os mesmos 150KB.

Nota de resgate: _readme.txt

A nota de resgate é a mesma para toda a família de ransomware. Na verdade, é um dos principais sinais de qual família o determinado ransomware pertence. Aqui está a nota típica para a família STOP/Djvu:

Links externos:

🔗 HowToFix.Guide: Como descriptografar arquivos .boty?

Read also: Conti Members Are Back in Action as Part of Akira Ransomware

Indicadores de Comprometimento (IOC)

Nome do Arquivo	MD5	Tamanho do Arquivo
📜 SAMPLE.EXE	1bffebd33b082b8368d149c1b8f38928	214528
📜 SAMPLE.EXE	427e51aff3ea097ba317951fbc5807a2	215040
📜 SAMPLE.EXE	fedff1e2efd1b5b9425d4d5fdbb2bc6d	1273856
📜 SAMPLE.EXE	69b2a51fcfa50b92de264466862bbb43	202240
📜 SAMPLE.EXE	7d4a46792371761cf8f9691b09b678b0	202240
📜 SAMPLE.EXE	1eb95527b59940838cff5c48c954bfd5	202240
📜 SAMPLE.EXE	9624ec23f673181ff8a9f7ccd34a336b	215552
📜 SAMPLE.EXE	0f627b79f88fddb01b0123e14d25b17b	217600
📜 SAMPLE.EXE	cfc6fc2b8801f8ab61ae2f4f8df1e014	218624
📜 SAMPLE.EXE	de1fd91bb02db122d7401000be1824ad	217600