CatB Ransomware
CatB lunavara on vastik oht, mis sihib ettevõtteid ja mida algselt peeti Pandora Ransomware variandiks nende lunarahatähtede sarnasuste tõttu. Need kaks on aga üsna erinevad. CatB sisaldab VM-i vastaseid tehnikaid, et kontrollida täitmist "päris masinas", millele järgneb DLL-i eemaldamine ja DLL-i kaaperdamise kasutamine tuvastamisest kõrvalehoidmise eesmärgil. Pahavara koosneb kahest failist: 'version.dll', mis on pakitud UPX-iga ja vastutab VM-i vastaste kontrollide läbiviimise eest, ja 'oci.dll', lunavara kasulikust failist, mis käivitatakse pärast selle eemaldamist.
Sisukord
Liivakastikeskkondade kontrollimine
CatB analüüs on avastanud kolm erinevat meetodit, mida oht kasutab tagamaks, et seda täidetakse päris arvutis, mitte virtuaalses arvutis/liivakastis. Oht kontrollib protsessori tuuma, kontrollib süsteemi kogu vaba mälumahtu ja võtab arvesse ühendatud kõvaketta suurust.
Praegustel või kaasaegsetel arvutitel on tavaliselt minimaalsed riistvaraspetsifikatsioonid. Kui CatB tuvastab liiga palju hälbivaid või oodatud väärtusest madalamaid tulemusi, käsitleb ta tulemusi märgina selle kohta, et seda ei käitata reaalses süsteemis. Näiteks on enamikul arvutitel vähemalt kaks protsessorituuma, nii et ainult ühe olemasolu peetakse kahtlaseks. Sama kehtib ka füüsilise mälu suuruse kohta. CatB Ransomware kasutab vajaliku teabe hankimiseks ära GlobalMemoryStatusEx API funktsiooni ja sulgeb end, kui tagastatud tulemused näitavad vähem kui 2 GB füüsilist mälu. Lõpuks ei aktiveeru lunavara, kui see tuvastab, et selle praeguses keskkonnas on vähem kui 50 GB kõvakettaruumi.
DLL-i kaaperdamine ja püsivus
Kui kõik VM-i vastased kontrollid läbivad, loobib tilguti lunavara kasuliku koormuse (oci.dll) kausta C:\Windows\System32 ja muudab MSDTC teenuse (vastutav Windowsi hajutatud tehingute koordinaatori teenus) konfiguratsioone. andmebaaside ja veebiserverite vaheliste tehingute koordineerimiseks). Muudatused hõlmavad teenust kasutava konto nime muutmist võrguteenusest kohalikuks süsteemiks, sellele administraatoriõiguste andmist ja selle käivitusvaliku muutmist nõudmise käivitamisest automaatseks käivitamiseks, et säilitada püsivus pärast süsteemi taaskäivitamist.
Kui tilguti on vajalikke sätteid muutnud, käivitab see teenuse. See teenus proovib vaikimisi laadida mitut DLL-i kaustast System32. See võimaldab ähvardusel paigutada ebaseaduslikku DLL-i (nt oci.dll) samasse kataloogi, võimaldades sellel käivitada rikutud koodi.
Krüpteerimisrutiin ja lunaraha nõuded
Ohvri andmete krüptimine algab hetkest, kui CatB Ransomware kasuliku laadimise fail 'oci.dll' laaditakse protsessi 'msdtc.exe' osana. Selle käivitamise ajal on CatB-l mitmeid omadusi, mis eristavad seda enamlevinud lunavaraohtudest. Esiteks loetleb see olemasolevad kettad ja draivid ning krüpteerib ainult need, mis on selle kõvakodeeritud loendis – kettad D:\, E:\, F:\, G:\, H:\, I:\ ja kõik failid, mis asuvad kaustas C:\Users ja selle alamkaustades. Vältimaks seadmes kriitilisi süsteemivigu, mis võivad takistada ohvritel lunavararünnakut isegi märgamast, ei mõjuta CatB mitut konkreetset faililaiendit – .msi, .exe, .dll, .sys, .iso ega ka NTUSER.DAT fail. Pange tähele, et CatB ei muuda mingil viisil krüpteeritavate failide nimesid.
Veel üht kõrvalekallet normist täheldatakse selles, kuidas CarB Ransomware oma lunaraha väljastab. Selle asemel, et luua igas lukustatud andmeid sisaldavas kaustas lunaraha nõudva sõnumiga tekstifail, lisab oht oma sõnumi iga krüptitud faili algusesse. See tähendab, et ohvrid võivad esialgu olla segaduses, miks nende failid on rikutud, ja neile esitatakse ainult ründajate nõudmised, kui nad üritavad mõnda mõjutatud faili avada. Lunarahateatises on kirjas, et CatB Ransomware kasutab RAS-2048 krüpteerimisalgoritmi ja nõutava lunaraha suurus sõltub ajast, mis kulub ohvrite tasumiseks. Summad ulatuvad 50 Bitcoinist (~ 800 000 dollarit) kuni 130 Bitcoinini (~ 2 miljonit dollarit). Viie päeva pärast ähvardasid häkkerid, et kõik krüptitud andmed lähevad jäädavalt kaotsi. Ilmselt saavad ohvrid saata e-posti aadressile „catB9991@protonmail.com” kuni kolm faili, et need tasuta dekrüpteerida.
CatB Ransomware märkuse täistekst on järgmine:
'??? Mis juhtus???
!!! Teie failid on krüpteeritud!!!Kõik teie failid on kaitstud tugeva krüptimisega RSA-2048-ga.
Avalikku dekrüpteerimistarkvara pole.Programm ja privaatvõti, mis on hind? Hind sõltub sellest, kui kiiresti saate meile maksta.
1 päev: 50 Bitcoini
2 päeva: 60 Bitcoini
3 päeva: 90 Bitcoini
4 päeva: 130 Bitcoini
5 päeva: püsiv andmete kadu !!!!Btc aadress: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Pärast kättesaamist saadame programmi ja privaatvõtme kohe teie IT-osakonda.!!!Tasuta dekrüpteerimine Tagatiseks võite saata meile enne maksmist kuni 3 tasuta dekrüpteeritud faili.
email: catB9991@protonmail.com!!! Ärge püüdke oma andmeid kolmanda osapoole tarkvara abil dekrüpteerida, see võib põhjustada andmete püsiva kadumise.!!!
!!! Meie programm suudab teie arvuti mõne minutiga parandada.!!!'
