Ransomware Bowd (Arquivos .bowd)

Ransomware tem muitas faces. No caso do ransomware Bowd, é um vírus que visa usuários individuais e, como qualquer outro ransomware, criptografa os arquivos que pode acessar no computador infectado. Além disso, ele desativa suas ferramentas de segurança e torna a rede bastante difícil.

Os arquivos que ele criptografa são muito difíceis de recuperar. O malware usa um algoritmo de criptografia robusto - Salsa20, que provavelmente é impossível de hackear com força bruta. Em seguida, o vírus envia as chaves de descriptografia para seu servidor de comando, que é controlado por criminosos cibernéticos. Esses caras só lhe darão a chave de descriptografia após o pagamento do resgate ou depois de serem capturados pela polícia.

O ransomware Bowd é distribuído por meio de canais bastante comuns, usados por vários outros vírus. O software "gratuito", que você pode obter por meio das redes de compartilhamento (eMule, ThePirateBay), é uma casca perfeita para ransomware, porque o usuário provavelmente ignorará todos os alertas dos sistemas de segurança. Após o ataque, eles nem verão nenhum sinal de vida do programa antivírus.

Processo de criptografia

O ransomware Bowd usa o algoritmo de criptografia AES-256. Este não é o método mais forte, mas ainda fornece uma quantidade avassaladora de chaves de descriptografia possíveis. Para quebrar o número de chaves de 78 dígitos, você precisaria de 3,5 unvigintilhões de anos (1*10^65), mesmo que use o computador mais poderoso do mercado. Computadores quânticos podem apresentar resultados um pouco melhores, mas ainda é muito lento para recuperar seus arquivos enquanto você estiver vivo.

O algoritmo exato de criptografia é o seguinte: o malware verifica cada pasta em busca de arquivos que possa criptografar. Então, quando encontra o alvo, faz uma cópia do arquivo, remove o original, criptografa a cópia e a deixa em vez do original removido. Essa operação é feita para evitar a situação em que você já abriu o arquivo, para que o ransomware não possa lê-lo devido às restrições do Windows. Para cada cópia criptografada, o vírus adiciona a extensão específica - ".bowd". Em seguida, o ransomware cria um arquivo _readme.txt na pasta em que o arquivo criptografado está localizado e passa para a próxima pasta.

Esse método de criptografia pode ser explorado para a recuperação de arquivos. Como o arquivo original é excluído, você pode tentar recuperá-lo usando ferramentas de recuperação de arquivo. Quanto menos tempo passar, maior será a chance de recuperar seus arquivos, portanto, é importante agir rapidamente!

Outro momento específico que pode ajudá-lo a usar os arquivos mesmo após a criptografia é o fato de que o ransomware Bowd criptografa apenas os primeiros 150KB de cada arquivo. Portanto, você pode tentar executar um arquivo grande, como vídeo ou música, sem a criptografia. Recursos semelhantes também funcionam com outras famílias de ransomware - Dharma, Conti e Makop criptografam os mesmos 150KB.

Nota de resgate: _readme.txt

A nota de resgate é a mesma para toda a família de ransomware. Na verdade, é um dos principais sinais de qual família o determinado ransomware pertence. Aqui está a nota típica para a família STOP/Djvu:

Links externos:

🔗 HowToFix.Guide: Como descriptografar arquivos .bowd?

Indicadores de Comprometimento (IOC)

Nome do Arquivo	MD5	Tamanho do Arquivo
📜 SAMPLE.EXE	9a164cede19b9203c508c386fabb2a45	839680
📜 SAMPLE.EXE	46f62af31b9d5acfb159c0f95c95fc54	841216
📜 SAMPLE.EXE	a6b2ff8696cdf252594424d9f340e345	840192
📜 SAMPLE.EXE	a2194b65140e588424731169c7eb8174	840704
📜 SAMPLE.EXE	537ecc10bd947a0dd5d9088bf6474fa2	840192
📜 SAMPLE.EXE	683716645ccd5866870caf64f21951b2	840704
📜 SAMPLE.EXE	4a399bbce7a83483767712b5f4f1b080	841216
📜 SAMPLE.EXE	1552564d0af2fa30bbb740b1a0ad54a2	840192
📜 SAMPLE.EXE	1af44914e2340ab6da17a3a61609a2e4	840704
📜 SAMPLE.EXE	7118c586495dc286e36ed4b2572953b2	858112