CatB Ransomware

يعد CatB ransomware تهديدًا سيئًا يستهدف كيانات الشركات وكان يُعتقد في البداية أنه أحد أشكال Pandora Ransomware بسبب أوجه التشابه بين ملاحظات الفدية الخاصة بهم. ومع ذلك ، فإن الاثنين مختلفان تمامًا. يحتوي CatB على تقنيات مكافحة الجهاز الظاهري للتحقق من التنفيذ على "جهاز حقيقي" ، متبوعًا بإسقاط DLL واستخدام اختطاف DLL لأغراض التهرب من الاكتشاف. يتكون البرنامج الضار من ملفين: "version.dll" ، وهو محمل بـ UPX وهو مسؤول عن إجراء فحوصات مكافحة الأجهزة الظاهرية ، و "oci.dll" ، حمولة برامج الفدية ، والتي يتم تنفيذها بعد إسقاطها.

التحقق من بيئات Sandbox

كشف تحليل CatB عن ثلاث طرق مختلفة يستخدمها التهديد للتأكد من أنه يتم تنفيذه على كمبيوتر حقيقي وليس في VM / sandbox. سيقوم التهديد بإجراء فحص أساسي للمعالج ، والتحقق من إجمالي الذاكرة المتوفرة للنظام ، والنظر في حجم محرك الأقراص الثابتة المتصل.

عادةً ما تحتوي أجهزة الكمبيوتر الحالية أو الحديثة على الحد الأدنى من مواصفات الأجهزة. إذا اكتشف CatB نتائج انحرفت كثيرًا أو أقل من القيمة المتوقعة ، فسوف يتعامل مع النتائج على أنها علامة على عدم تشغيلها على نظام حقيقي. على سبيل المثال ، تحتوي معظم أجهزة الكمبيوتر على مركزين على الأقل للمعالج ، لذا فإن وجود معالج واحد فقط سيُعتبر أمرًا مريبًا. الأمر نفسه ينطبق على حجم الذاكرة الفعلية. يستفيد برنامج CatB Ransomware من وظيفة GlobalMemoryStatusEx API لاسترداد المعلومات الضرورية وسيغلق نفسه إذا أظهرت النتائج التي تم إرجاعها أقل من 2 جيجابايت من الذاكرة الفعلية. أخيرًا ، لن يتم تنشيط برنامج الفدية إذا حدد أن بيئته الحالية بها أقل من 50 جيجابايت من مساحة القرص الصلب.

اختطاف DLL والمثابرة

إذا نجحت جميع عمليات التحقق من أجهزة مكافحة الأجهزة الظاهرية ، فسيقوم القطارة بإسقاط حمولة برامج الفدية (oci.dll) في المجلد C: \ Windows \ System32 وتعديل تكوينات خدمة MSDTC (خدمة Windows Distributed Transaction Coordinator ، المسؤولة لتنسيق المعاملات بين قواعد البيانات وخوادم الويب). تتضمن التعديلات تغيير اسم الحساب الذي يقوم بتشغيل الخدمة من خدمة الشبكة إلى النظام المحلي ، ومنحه حقوق المسؤول ، وتغيير خيار البدء من بدء الطلب إلى بدء التشغيل التلقائي للحفاظ على الثبات بعد إعادة تشغيل النظام.

بمجرد أن يغير القطارة الإعدادات اللازمة ، فإنه يبدأ الخدمة. ستحاول هذه الخدمة افتراضيًا تحميل مكتبات DLL متعددة من مجلد System32. يسمح هذا للتهديد بإيداع DLL غير شرعي (مثل oci.dll) في نفس الدليل ، مما يسمح له بتشغيل تعليمات برمجية تالفة.

روتين التشفير وطلبات الفدية

يبدأ تشفير بيانات الضحية في اللحظة التي يتم فيها تحميل ملف حمولة CatB Ransomware "oci.dll" كجزء من عملية "msdtc.exe". أثناء تنفيذه ، يُظهر CatB العديد من الخصائص التي تميزه عن تهديدات برامج الفدية الأكثر شيوعًا. أولاً ، سوف يقوم بتعداد الأقراص ومحركات الأقراص الموجودة ويقوم فقط بتشفير تلك التي هي جزء من قائمته ذات التشفير الثابت - الأقراص D: \ ، E: \ ، F: \ ، G: \ ، H: \ ، I: \ ، وجميع الملفات الموجودة في C: \ Users ومجلداتها الفرعية. لتجنب التسبب في أي أخطاء جسيمة في النظام على الجهاز والتي يمكن أن تمنع الضحايا من ملاحظة هجوم الفدية ، لن يؤثر CatB على العديد من امتدادات الملفات المحددة - msi. و exe. و dll. و sys. ملف NTUSER.DAT. لاحظ أن CatB لا يغير أسماء الملفات التي يشفرها بأي شكل من الأشكال.

لوحظ انحراف آخر عن القاعدة في الطريقة التي يقدم بها CarB Ransomware مذكرة الفدية الخاصة به. بدلاً من إنشاء ملف نصي برسالة تطلب فدية في كل مجلد يحتوي على بيانات مقفلة ، يرفق التهديد رسالته ببداية كل ملف مشفر. هذا يعني أنه قد يتم الخلط بين الضحايا في البداية حول سبب ظهور ملفاتهم تالفة ولن يتم تقديمها إلا مع مطالب المهاجمين عند محاولة فتح أحد الملفات المتأثرة. تنص مذكرة الفدية على أن برنامج CatB Ransomware يستخدم خوارزمية تشفير RAS-2048 وأن حجم الفدية المطلوبة سيعتمد على الوقت الذي يستغرقه الضحايا للدفع. تتراوح المبالغ من 50 بيتكوين (حوالي 800000 دولار أمريكي) إلى 130 بيتكوين (حوالي 2 مليون دولار أمريكي). بعد خمسة أيام ، هدد المتسللون بفقدان جميع البيانات المشفرة بشكل دائم. على ما يبدو ، يمكن للضحايا إرسال ما يصل إلى 3 ملفات إلى عنوان البريد الإلكتروني "catB9991@protonmail.com" ليتم فك تشفيرها مجانًا.

النص الكامل لملاحظة CatB Ransomware هو:

'؟؟؟ ماذا حدث؟؟؟
!!! ملفاتك مشفرة !!!

جميع ملفاتك محمية بواسطة تشفير قوي باستخدام RSA-2048.
لا يوجد برنامج عام لفك التشفير.

البرنامج والمفتاح الخاص ، ما هو السعر؟ السعر يعتمد على مدى السرعة التي يمكنك أن تدفعها لنا.

يوم واحد: 50 بيتكوين
اليوم الثاني: 60 بيتكوين
3 أيام: 90 بيتكوين
اليوم الرابع: 130 بيتكوين
5 أيام: فقدان دائم للبيانات !!!!

عنوان Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! بعد الاستلام ، سنرسل البرنامج والمفتاح الخاص إلى قسم تكنولوجيا المعلومات لديك الآن. !!!

فك تشفير مجاني كضمان ، يمكنك إرسال ما يصل إلى 3 ملفات مجانية تم فك تشفيرها قبل السداد.
البريد الإلكتروني: catB9991@protonmail.com

!!! لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث ، فقد يؤدي ذلك إلى فقدان دائم للبيانات. !!!
!!! يمكن لبرنامجنا إصلاح جهاز الكمبيوتر الخاص بك في بضع دقائق. !!! '