CatB Ransomware
Ransomware CatB je ošklivá hrozba, která se zaměřuje na korporátní subjekty a původně byla považována za variantu ransomwaru Pandora kvůli podobnosti mezi jejich výkupnými. Oba jsou však zcela odlišní. CatB obsahuje techniky anti-VM pro ověření spuštění na „skutečném počítači“, po kterém následuje odstranění knihovny DLL a použití únosu knihovny DLL pro účely úniku z detekce. Malware se skládá ze dvou souborů: 'version.dll', který je součástí UPX a je zodpovědný za provádění anti-VM kontrol, a 'oci.dll', datová část ransomwaru, která se spustí po vypuštění.
Obsah
Kontrola prostředí Sandbox
Analýza CatB odhalila tři různé metody využívané hrozbou, aby bylo zajištěno, že bude spuštěna na skutečném počítači a ne ve virtuálním počítači/sandboxu. Hrozba provede kontrolu jádra procesoru, ověří celkovou dostupnou paměť systému a zváží velikost připojeného pevného disku.
Současné nebo moderní počítače mají obvykle minimální hardwarové specifikace. Pokud CatB detekuje výsledky, které se příliš odchylují nebo jsou pod očekávanou hodnotou, bude výsledky považovat za známku toho, že nejsou spuštěny na skutečném systému. Například většina počítačů bude mít alespoň dvě procesorová jádra, takže přítomnost pouze jednoho bude posouzena jako podezřelá. Totéž platí pro velikost fyzické paměti. CatB Ransomware využívá funkci GlobalMemoryStatusEx API k načtení potřebných informací a sám se zavře, pokud vrácené výsledky ukazují méně než 2 GB fyzické paměti. A konečně, ransomware se neaktivuje, pokud zjistí, že jeho aktuální prostředí má méně než 50 GB místa na pevném disku.
DLL únos a vytrvalost
Pokud projdou všechny anti-VM kontroly, dropper přenese datovou část ransomwaru (oci.dll) do složky C:\Windows\System32 a upraví konfigurace služby MSDTC (služba Distributed Transaction Coordinator Windows, která je zodpovědná pro koordinaci transakcí mezi databázemi a webovými servery). Úpravy zahrnují změnu názvu účtu, na kterém je služba spuštěna, z Network Service na Local System, udělení administrátorských práv a změnu jeho možnosti spuštění z Demand start na Auto start, aby byla zachována perzistence po restartu systému.
Jakmile kapátko změní potřebná nastavení, spustí službu. Tato služba se ve výchozím nastavení pokusí načíst více knihoven DLL ze složky System32. To umožňuje hrozbě uložit nelegitimní knihovnu DLL (například oci.dll) do stejného adresáře, což jí umožní spustit poškozený kód.
Šifrovací rutina a požadavky na výkupné
Šifrování dat oběti začíná v okamžiku, kdy je načten datový soubor CatB Ransomware „oci.dll“ jako součást procesu „msdtc.exe“. Během svého provádění vykazuje CatB několik vlastností, které jej odlišují od běžnějších hrozeb ransomwaru. Nejprve provede výčet existujících disků a jednotek a zašifruje pouze ty, které jsou součástí jeho pevně zakódovaného seznamu – Disky D:\, E:\, F:\, G:\, H:\, I:\ a všechny soubory obsažené v C:\Users a jejích podsložkách. Aby nedošlo ke vzniku kritických systémových chyb na zařízení, které by mohly zabránit obětem, aby si útoku ransomwaru ani nevšimly, CatB neovlivní několik konkrétních přípon souborů - .msi, .exe, .dll, .sys, .iso, stejně jako soubor NTUSER.DAT. Všimněte si, že CatB nijak nemění názvy souborů, které šifruje.
Další odchylka od normy je pozorována ve způsobu, jakým CarB Ransomware doručuje výkupné. Namísto vytvoření textového souboru se zprávou požadující výkupné v každé složce obsahující uzamčená data hrozba připojí svou zprávu na začátek každého zašifrovaného souboru. To znamená, že oběti mohou být zpočátku zmateny tím, proč se jejich soubory zdají poškozené, a budou jim předloženy požadavky útočníků pouze při pokusu o otevření některého z napadených souborů. Oznámení o výkupném uvádí, že CatB Ransomware používá šifrovací algoritmus RAS-2048 a velikost požadovaného výkupného bude záviset na době, kterou oběti zaberou splacení. Částky se pohybují od 50 bitcoinů (~ 800 000 $) do 130 bitcoinů (~ 2 miliony $). Po pěti dnech hackeři pohrozili, že všechna zašifrovaná data budou trvale ztracena. Oběti mohou podle všeho poslat až 3 soubory na e-mailovou adresu 'catB9991@protonmail.com', které budou zdarma dešifrovány.
Úplný text poznámky CatB Ransomware je:
'??? Co se stalo???
!!! Vaše soubory jsou šifrované!!!Všechny vaše soubory jsou chráněny silným šifrováním s RSA-2048.
Neexistuje žádný veřejný dešifrovací software.Program a soukromý klíč, Jaká je cena? Cena závisí na tom, jak rychle nám můžete zaplatit.
1 den: 50 bitcoinů
2 dny: 60 bitcoinů
3 dny: 90 bitcoinů
4 dny: 130 bitcoinů
5 dní: trvalá ztráta dat!!!!Adresa BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Po obdržení ihned zašleme program a soukromý klíč vašemu IT oddělení.!!!Bezplatné dešifrování Jako záruku nám můžete zaslat až 3 zdarma dešifrované soubory před platbou.
e-mail: catB9991@protonmail.com!!! Nepokoušejte se dešifrovat svá data pomocí softwaru třetích stran, mohlo by dojít k trvalé ztrátě dat.!!!
!!! Náš program dokáže opravit váš počítač během několika minut.!!!'
