CatB Ransomware

CatB рансъмуерът е неприятна заплаха, която е насочена към корпоративни субекти и първоначално се смяташе, че е вариант на Pandora Ransomware поради приликите между техните бележки за откуп. Двете обаче са доста различни. CatB съдържа анти-VM техники за проверка на изпълнението на „реална машина“, последвано от премахване на DLL и използване на отвличане на DLL за целите на избягване на откриване. Злонамереният софтуер се състои от два файла: „version.dll“, който е пълен с UPX и е отговорен за провеждането на анти-VM проверки, и „oci.dll“, полезният товар на ransomware, който се изпълнява след изпускане.

Проверка за Sandbox среди

Анализът на CatB разкри три различни метода, използвани от заплахата, за да се гарантира, че тя се изпълнява на реален компютър, а не във VM/sandbox. Заплахата ще извърши проверка на ядрото на процесора, ще провери общата налична памет на системата и ще вземе предвид размера на свързания твърд диск.

Настоящите или модерни компютри обикновено имат минимални хардуерни спецификации. Ако CatB открие резултати, които се отклоняват твърде много или са под очакваната стойност, той ще третира резултатите като знак, че не се изпълнява на реална система. Например, повечето компютри ще имат поне две процесорни ядра, така че наличието само на едно ще се счита за подозрително. Същото важи и за размера на физическата памет. CatB Ransomware се възползва от API функцията GlobalMemoryStatusEx, за да извлече необходимата информация и ще се затвори, ако върнатите резултати показват по-малко от 2 GB физическа памет. И накрая, рансъмуерът няма да се активира, ако установи, че текущата му среда има по-малко от 50 GB място на твърдия диск.

Отвличане и постоянство на DLL

Ако всички анти-VM проверки преминат успешно, програмата за пускане ще продължи да пуска полезния товар на ransomware (oci.dll) в папката C:\Windows\System32 и ще промени конфигурациите на услугата MSDTC (услугата Distributed Transaction Coordinator Windows, която отговаря за координиране на транзакции между бази данни и уеб сървъри). Модификациите включват промяна на името на акаунта, изпълняващ услугата от Network Service на Local System, предоставяне на администраторски права и промяна на опцията за стартиране от Demand start на Auto start, за да се поддържа устойчивост след рестартиране на системата.

След като капкомерът промени необходимите настройки, той стартира услугата. Тази услуга по подразбиране ще се опита да зареди множество DLL от папката System32. Това позволява на заплахата да депозира нелегитимен DLL (като oci.dll) в същата директория, позволявайки му да изпълнява повреден код.

Рутина за криптиране и искания за откуп

Шифроването на данните на жертвата започва в момента, в който полезният файл на CatB Ransomware „oci.dll“ се зареди като част от процеса „msdtc.exe“. По време на изпълнението си CatB проявява няколко характеристики, които го отличават от по-често срещаните заплахи за ransomware. Първо, той ще изброи съществуващите дискове и устройства и ще шифрова само онези, които са част от неговия твърдо кодиран списък - Дискове D:\, E:\, F:\, G:\, H:\, I:\ и всички файлове, съдържащи се в C:\Users и неговите подпапки. За да избегне причиняването на критични системни грешки на устройството, които биха могли да попречат на жертвите дори да забележат атаката на ransomware, CatB няма да засегне няколко специфични файлови разширения - .msi, .exe, .dll, .sys, .iso, както и NTUSER.DAT файл. Имайте предвид, че CatB не променя имената на файловете, които криптира по никакъв начин.

Друго отклонение от нормата се наблюдава в начина, по който CarB Ransomware доставя своята бележка за откуп. Вместо да създава текстов файл със съобщението за искане на откуп във всяка папка, съдържаща заключени данни, заплахата прикачва своето съобщение към началото на всеки криптиран файл. Това означава, че жертвите първоначално могат да бъдат объркани защо файловете им изглеждат повредени и ще им бъдат представени исканията на нападателите само когато се опитват да отворят един от засегнатите файлове. В бележката за откуп се посочва, че CatB Ransomware използва алгоритъма за криптиране RAS-2048 и размерът на искания откуп ще се основава на времето, необходимо на жертвите да платят. Сумите варират от 50 Bitcoin (~$800 000) до 130 Bitcoin (~$2 милиона). След пет дни хакерите заплашиха, че всички криптирани данни ще бъдат загубени завинаги. Очевидно жертвите могат да изпратят до 3 файла на имейл адреса „catB9991@protonmail.com“, за да бъдат декриптирани безплатно.

Пълният текст на бележката на CatB Ransomware е:

'??? Какво стана???
!!! Вашите файлове са криптирани !!!

Всички ваши файлове са защитени чрез силно криптиране с RSA-2048.
Няма публичен софтуер за дешифриране.

Програма и частен ключ, каква е цената? Цената зависи от това колко бързо можете да ни платите.

1 ден: 50 Bitcoin
2 ден: 60 Bitcoin
3 ден: 90 Bitcoin
4 ден: 130 Bitcoin
5 ден: постоянна загуба на данни!!!!

Btc адрес: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! След като получим, ние ще изпратим програма и частен ключ на вашия ИТ отдел веднага.!!!

Безплатно декриптиране Като гаранция можете да ни изпратите до 3 безплатни декриптирани файла преди плащане.
имейл: catB9991@protonmail.com

!!! Не се опитвайте да дешифрирате данните си с помощта на софтуер на трети страни, това може да доведе до трайна загуба на данни.!!!
!!! Нашата програма може да поправи вашия компютър за няколко минути.!!!'