CatB Ransomware

CatB ransomware er en grim trussel, der er rettet mod virksomhedsenheder og blev oprindeligt anset for at være en variant af Pandora Ransomware på grund af ligheder mellem deres løsepengesedler. De to er dog ret forskellige. CatB indeholder anti-VM-teknikker til at verificere eksekvering på en 'rigtig maskine' efterfulgt af at droppe en DLL og bruge DLL-kapring til detektionsformål. Malwaren består af to filer: 'version.dll', som er pakket med UPX og er ansvarlig for at udføre anti-VM-tjek, og 'oci.dll', ransomware-nyttelasten, som bliver eksekveret efter at være blevet droppet.

Søger efter sandkassemiljøer

Analyse af CatB har afsløret tre forskellige metoder, der anvendes af truslen for at sikre, at den udføres på en rigtig computer og ikke i en VM/sandbox. Truslen vil udføre et processorkernetjek, verificere systemets samlede tilgængelige hukommelse og overveje størrelsen af den tilsluttede harddisk.

Nuværende eller moderne computere har typisk minimale hardwarespecifikationer. Hvis CatB opdager resultater, der afviger for meget eller er under en forventet værdi, vil den behandle resultaterne som et tegn på, at den ikke køres på et rigtigt system. For eksempel vil de fleste computere have mindst to processorkerner, så tilstedeværelsen af kun én vil blive bedømt som mistænkelig. Det samme gælder fysisk hukommelsesstørrelse. CatB Ransomware udnytter GlobalMemoryStatusEx API-funktionen til at hente de nødvendige oplysninger og lukker sig selv, hvis de returnerede resultater viser mindre end 2 GB fysisk hukommelse. Endelig vil ransomwaren ikke aktiveres, hvis den bestemmer, at dets nuværende miljø har mindre end 50 GB harddiskplads.

DLL-kapring og persistens

Hvis alle anti-VM-tjek passerer, vil dropperen fortsætte med at droppe ransomware-nyttelasten (oci.dll) i mappen C:\Windows\System32 og ændre konfigurationerne af MSDTC-tjenesten (Distributed Transaction Coordinator Windows-tjenesten, som er ansvarlig til koordinering af transaktioner mellem databaser og webservere). Ændringerne omfatter ændring af navnet på den konto, der kører tjenesten, fra netværkstjeneste til lokalt system, tildeling af administratorrettigheder og ændring af dens startindstilling fra kræve start til automatisk start for at opretholde persistens efter en systemgenstart.

Når dropperen har ændret de nødvendige indstillinger, starter den tjenesten. Denne tjeneste vil som standard forsøge at indlæse flere DLL'er fra System32-mappen. Dette tillader truslen om at deponere en illegitim DLL (såsom oci.dll) i den samme mappe, så den kan køre korrupt kode.

Krypteringsrutine og krav om løsesum

Krypteringen af ofrets data begynder i det øjeblik, CatB Ransomware-nyttelastfilen 'oci.dll' indlæses som en del af 'msdtc.exe'-processen. Under sin udførelse udviser CatB adskillige egenskaber, der adskiller den fra de mere almindelige ransomware-trusler. Først vil den opregne de eksisterende diske og drev og kun kryptere dem, der er en del af dens hårdkodede liste - Diske D:\, E:\, F:\, G:\, H:\, I:\ og alle de filer indeholdt i C:\Users og dets undermapper. For at undgå at forårsage kritiske systemfejl på enheden, der kan forhindre ofrene i overhovedet at bemærke ransomware-angrebet, vil CatB ikke påvirke flere specifikke filtypenavne - .msi, .exe, .dll, .sys, .iso samt NTUSER.DAT-fil. Bemærk, at CatB ikke ændrer navnene på de filer, den krypterer på nogen måde.

En anden afvigelse fra normen er observeret i den måde, hvorpå CarB Ransomware leverer sin løsesumseddel. I stedet for at oprette en tekstfil med den løsesum-krævende besked i hver mappe, der indeholder låste data, vedhæfter truslen sin besked til begyndelsen af hver krypteret fil. Det betyder, at ofre i starten kunne være forvirrede over, hvorfor deres filer ser ud til at være beskadigede og kun vil blive præsenteret for angribernes krav, når de forsøger at åbne en af de berørte filer. I løsesumnotaen står der, at CatB Ransomware bruger RAS-2048-krypteringsalgoritmen, og størrelsen af den krævede løsesum vil være baseret på den tid, det tager ofrene at betale. Beløbene spænder fra 50 Bitcoin (~$800.000) til 130 Bitcoin (~$2 millioner). Efter fem dage truede hackerne med, at alle krypterede data ville gå tabt permanent. Tilsyneladende kan ofre sende op til 3 filer til 'catB9991@protonmail.com' e-mailadressen for at blive dekrypteret gratis.

Den fulde tekst af CatB Ransomwares note er:

'??? Hvad skete der???
!!! Dine filer er krypteret !!!

Alle dine filer er beskyttet af stærk kryptering med RSA-2048.
Der er ingen offentlig dekrypteringssoftware.

Program og privat nøgle, hvad er prisen? Prisen afhænger af, hvor hurtigt du kan betale til os.

1 dag: 50 Bitcoin
2 dage: 60 Bitcoin
3 dage: 90 Bitcoin
4 dage: 130 Bitcoin
5 dage: permanent datatab !!!!

Btc-adresse: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Efter modtagelsen sender vi program og privat nøgle til din IT-afdeling lige nu.!!!

Gratis dekryptering Som garanti kan du sende os op til 3 gratis dekrypterede filer før betaling.
e-mail: catB9991@protonmail.com

!!! Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, dette kan resultere i permanent datatab.!!!
!!! Vores program kan reparere din computer på få minutter.!!!'