CatB Ransomware

ক্যাটবি র‍্যানসমওয়্যার হল একটি বাজে হুমকি যা কর্পোরেট সংস্থাগুলিকে লক্ষ্য করে এবং প্রাথমিকভাবে তাদের মুক্তিপণ নোটগুলির মধ্যে মিলের কারণে এটিকে Pandora Ransomware- এর একটি রূপ বলে মনে করা হয়েছিল৷ যাইহোক, দুটি বেশ আলাদা। ক্যাটবি-তে একটি 'বাস্তব মেশিন'-এ এক্সিকিউশন যাচাই করার জন্য অ্যান্টি-ভিএম কৌশল রয়েছে, তারপরে একটি ডিএলএল ড্রপ করা এবং সনাক্তকরণের উদ্দেশ্যে ডিএলএল হাইজ্যাকিং ব্যবহার করা হয়। ম্যালওয়্যার দুটি ফাইল নিয়ে গঠিত: 'version.dll', যা UPX দিয়ে প্যাক করা এবং অ্যান্টি-VM চেক পরিচালনার জন্য দায়ী, এবং 'oci.dll,' র‍্যানসমওয়্যার পেলোড, যা বাদ দেওয়ার পরে কার্যকর করা হয়।

স্যান্ডবক্স পরিবেশের জন্য পরীক্ষা করা হচ্ছে

ক্যাটবি-এর বিশ্লেষণে হুমকির দ্বারা ব্যবহৃত তিনটি ভিন্ন পদ্ধতি উন্মোচিত হয়েছে যে এটি একটি বাস্তব কম্পিউটারে কার্যকর করা হচ্ছে এবং VM/স্যান্ডবক্সে নয়। হুমকিটি একটি প্রসেসর কোর পরীক্ষা করবে, সিস্টেমের মোট উপলব্ধ মেমরি যাচাই করবে এবং সংযুক্ত হার্ড ড্রাইভের আকার বিবেচনা করবে।

বর্তমান বা আধুনিক কম্পিউটারে সাধারণত ন্যূনতম হার্ডওয়্যার স্পেসিফিকেশন থাকে। ক্যাটবি যদি এমন ফলাফল শনাক্ত করে যা খুব বেশি বিচ্যুত হয় বা প্রত্যাশিত মানের নীচে থাকে, তাহলে এটি ফলাফলগুলিকে একটি বাস্তব সিস্টেমে চালিত না হওয়ার চিহ্ন হিসাবে বিবেচনা করবে। উদাহরণস্বরূপ, বেশিরভাগ কম্পিউটারে কমপক্ষে দুটি প্রসেসর কোর থাকবে, তাই শুধুমাত্র একটির উপস্থিতি সন্দেহজনক হিসাবে বিচার করা হবে। একই শারীরিক মেমরি আকার প্রযোজ্য. CatB Ransomware প্রয়োজনীয় তথ্য পুনরুদ্ধার করতে GlobalMemoryStatusEx API ফাংশনের সুবিধা নেয় এবং ফিরে আসা ফলাফল 2GB-এর কম শারীরিক মেমরি দেখালে তা নিজেই বন্ধ হয়ে যাবে। অবশেষে, র‍্যানসমওয়্যার সক্রিয় হবে না যদি এটি নির্ধারণ করে যে এর বর্তমান পরিবেশে হার্ড ড্রাইভের 50GB এর কম স্থান রয়েছে।

DLL হাইজ্যাকিং এবং জেদ

যদি সমস্ত অ্যান্টি-ভিএম চেক পাস হয়, তাহলে ড্রপার C:\Windows\System32 ফোল্ডারে র্যানসমওয়্যার পেলোড (oci.dll) ড্রপ করতে এবং MSDTC পরিষেবার (ডিস্ট্রিবিউটেড ট্রানজ্যাকশন কো-অর্ডিনেটর উইন্ডোজ পরিষেবা, যা দায়ী) কনফিগারেশন পরিবর্তন করতে এগিয়ে যাবে ডাটাবেস এবং ওয়েব সার্ভারের মধ্যে লেনদেন সমন্বয়ের জন্য)। পরিবর্তনগুলির মধ্যে রয়েছে নেটওয়ার্ক পরিষেবা থেকে লোকাল সিস্টেমে পরিষেবাটি চলমান অ্যাকাউন্টের নাম পরিবর্তন করা, এটিকে প্রশাসক অধিকার প্রদান করা এবং সিস্টেম পুনরায় চালু করার পরে স্থিরতা বজায় রাখার জন্য ডিমান্ড স্টার্ট থেকে অটো স্টার্টে এর স্টার্ট অপশন পরিবর্তন করা।

একবার ড্রপার প্রয়োজনীয় সেটিংস পরিবর্তন করলে, এটি পরিষেবাটি চালু করে। এই পরিষেবাটি ডিফল্ট সিস্টেম32 ফোল্ডার থেকে একাধিক DLL লোড করার চেষ্টা করবে। এটি হুমকিকে একই ডিরেক্টরিতে একটি অবৈধ DLL (যেমন oci.dll) জমা করার অনুমতি দেয়, এটিকে দূষিত কোড চালানোর অনুমতি দেয়।

এনক্রিপশন রুটিন এবং মুক্তিপণ দাবি

শিকারের ডেটার এনক্রিপশন শুরু হয় যখন CatB Ransomware পেলোড ফাইল 'oci.dll' 'msdtc.exe' প্রক্রিয়ার অংশ হিসেবে লোড হয়। এটি কার্যকর করার সময়, CatB বিভিন্ন বৈশিষ্ট্য প্রদর্শন করে যা এটিকে আরও সাধারণ র্যানসমওয়্যার হুমকি থেকে আলাদা করে। প্রথমত, এটি বিদ্যমান ডিস্ক এবং ড্রাইভগুলিকে গণনা করবে এবং শুধুমাত্র সেইগুলিকে এনক্রিপ্ট করবে যা এর হার্ডকোড তালিকার অংশ - ডিস্ক D:\, E:\, F:\, G:\, H:\, I:\, এবং সমস্ত C:\Users এবং এর সাব-ফোল্ডারগুলিতে থাকা ফাইলগুলি। ডিভাইসে কোনো জটিল সিস্টেমের ত্রুটি এড়াতে যা ক্ষতিগ্রস্থদের এমনকি র‍্যানসমওয়্যার আক্রমণ লক্ষ্য করা থেকেও আটকাতে পারে, ক্যাটবি কয়েকটি নির্দিষ্ট ফাইল এক্সটেনশনকে প্রভাবিত করবে না - .msi, .exe, .dll, .sys, .iso, পাশাপাশি NTUSER.DAT ফাইল। মনে রাখবেন যে CatB কোনোভাবেই এনক্রিপ্ট করা ফাইলগুলির নাম পরিবর্তন করে না।

আদর্শ থেকে আরেকটি বিচ্যুতি পরিলক্ষিত হয় যেভাবে CarB Ransomware তার মুক্তিপণ নোট সরবরাহ করে। লক করা ডেটা ধারণকারী প্রতিটি ফোল্ডারে মুক্তিপণ-ডিমান্ডিং বার্তা সহ একটি পাঠ্য ফাইল তৈরি করার পরিবর্তে, হুমকি প্রতিটি এনক্রিপ্ট করা ফাইলের শুরুতে তার বার্তা সংযুক্ত করে। এর মানে হল যে ক্ষতিগ্রস্তরা প্রাথমিকভাবে বিভ্রান্ত হতে পারে কেন তাদের ফাইলগুলি দূষিত দেখাচ্ছে এবং প্রভাবিত ফাইলগুলির একটি খোলার চেষ্টা করার সময় শুধুমাত্র আক্রমণকারীদের দাবির সাথে উপস্থাপন করা হবে। মুক্তিপণ নোটে বলা হয়েছে যে CatB Ransomware RAS-2048 এনক্রিপশন অ্যালগরিদম ব্যবহার করে এবং দাবিকৃত মুক্তিপণের আকার ক্ষতিগ্রস্থদের পরিশোধ করতে যে সময় লাগে তার উপর ভিত্তি করে করা হবে। যোগফল 50 বিটকয়েন (~800 000) থেকে 130 বিটকয়েন (~$2 মিলিয়ন) পর্যন্ত। পাঁচ দিন পর, হ্যাকাররা হুমকি দেয় যে সমস্ত এনক্রিপ্ট করা ডেটা স্থায়ীভাবে হারিয়ে যাবে। স্পষ্টতই, ভুক্তভোগীরা বিনামূল্যে ডিক্রিপ্ট করার জন্য 'catB9991@protonmail.com' ইমেল ঠিকানায় 3টি পর্যন্ত ফাইল পাঠাতে পারে।

CatB Ransomware এর নোটের সম্পূর্ণ পাঠ্য হল:

'??? কি হলো???
!!! আপনার ফাইল এনক্রিপ্ট করা হয়!!!

আপনার সমস্ত ফাইল RSA-2048 দিয়ে শক্তিশালী এনক্রিপশন দ্বারা সুরক্ষিত।
কোন পাবলিক ডিক্রিপশন সফ্টওয়্যার নেই.

প্রোগ্রাম এবং প্রাইভেট কী, দাম কত? মূল্য নির্ভর করে আপনি কত দ্রুত আমাদের দিতে পারেন তার উপর।

1 দিন: 50 বিটকয়েন
2 দিন: 60 বিটকয়েন
3 দিন: 90 বিটকয়েন
4 দিন: 130 বিটকয়েন
5 দিন: স্থায়ী ডেটা ক্ষতি !!!!

Btc ঠিকানা: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! প্রাপ্তির পরে, আমরা এখনই আপনার আইটি বিভাগে প্রোগ্রাম এবং ব্যক্তিগত কী পাঠাব।!!!

বিনামূল্যে ডিক্রিপশন একটি গ্যারান্টি হিসাবে, আপনি পেমেন্ট করার আগে আমাদের 3 পর্যন্ত বিনামূল্যে ডিক্রিপ্ট করা ফাইল পাঠাতে পারেন।
ইমেল: catB9991@protonmail.com

!!! তৃতীয় পক্ষের সফ্টওয়্যার ব্যবহার করে আপনার ডেটা ডিক্রিপ্ট করার চেষ্টা করবেন না, এর ফলে স্থায়ী ডেটা ক্ষতি হতে পারে।!!!
!!! আমাদের প্রোগ্রাম কয়েক মিনিটের মধ্যে আপনার কম্পিউটার মেরামত করতে পারে.!!!'