CatB Ransomware
باج افزار CatB یک تهدید ناخوشایند است که نهادهای شرکتی را هدف قرار می دهد و در ابتدا تصور می شد به دلیل شباهت هایی که بین یادداشت های باج افزار آنها وجود دارد، نوعی از باج افزار Pandora باشد. با این حال، این دو کاملاً متمایز هستند. CatB حاوی تکنیکهای ضد VM برای تأیید اجرا در یک «ماشین واقعی»، و به دنبال آن حذف یک DLL و استفاده از ربودن DLL برای اهداف فرار از تشخیص است. این بدافزار از دو فایل تشکیل شده است: 'version.dll' که با UPX بسته بندی شده و مسئول انجام بررسی های ضد VM است و 'oci.dll'، باری باج افزار که پس از حذف اجرا می شود.
فهرست مطالب
بررسی محیط های Sandbox
تجزیه و تحلیل CatB سه روش مختلف را کشف کرده است که توسط تهدید برای اطمینان از اجرای آن بر روی یک کامپیوتر واقعی و نه در VM/sandbox استفاده می شود. این تهدید یک بررسی هسته پردازشگر را انجام می دهد، کل حافظه موجود سیستم را تأیید می کند و اندازه هارد دیسک متصل را در نظر می گیرد.
کامپیوترهای فعلی یا مدرن معمولا حداقل مشخصات سخت افزاری دارند. اگر CatB نتایجی را تشخیص دهد که بیش از حد انحراف دارند یا کمتر از مقدار مورد انتظار هستند، نتایج را به عنوان نشانه ای از اجرا نشدن آن در یک سیستم واقعی تلقی می کند. به عنوان مثال، اکثر رایانه ها حداقل دو هسته پردازشگر خواهند داشت، بنابراین وجود تنها یک هسته مشکوک ارزیابی می شود. همین امر در مورد اندازه حافظه فیزیکی نیز صدق می کند. باجافزار CatB از عملکرد GlobalMemoryStatusEx API برای بازیابی اطلاعات لازم استفاده میکند و اگر نتایج بازگردانده شده کمتر از 2 گیگابایت حافظه فیزیکی را نشان دهد، خودش را میبندد. در نهایت، اگر باج افزار تشخیص دهد که محیط فعلی آن کمتر از 50 گیگابایت فضای هارد دیسک دارد، فعال نمی شود.
ربودن DLL و ماندگاری
اگر تمام بررسیهای ضد VM انجام شود، قطرهنگار به رها کردن بار باجافزار (oci.dll) در پوشه C:\Windows\System32 و تغییر تنظیمات سرویس MSDTC (سرویس Windows Distributed Transaction Coordinator، که مسئول آن است) ادامه میدهد. برای هماهنگ کردن تراکنش ها بین پایگاه های داده و سرورهای وب). تغییرات شامل تغییر نام حسابی که سرویس را اجرا می کند از سرویس شبکه به سیستم محلی، اعطای حقوق مدیریت به آن و تغییر گزینه شروع آن از شروع تقاضا به شروع خودکار برای حفظ پایداری پس از راه اندازی مجدد سیستم است.
هنگامی که قطره چکان تنظیمات لازم را تغییر داد، سرویس را راه اندازی می کند. این سرویس به طور پیش فرض سعی می کند چندین DLL را از پوشه System32 بارگیری کند. این به تهدید اجازه می دهد تا یک DLL نامشروع (مانند oci.dll) را در همان فهرست قرار دهد و به آن امکان می دهد کدهای خراب را اجرا کند.
روال رمزگذاری و تقاضاهای باج
رمزگذاری دادههای قربانی از لحظهای شروع میشود که فایل «oci.dll» باجافزار CatB به عنوان بخشی از فرآیند «msdtc.exe» بارگیری میشود. در طول اجرای خود، CatB چندین ویژگی را نشان می دهد که آن را از تهدیدهای باج افزار رایج تر متمایز می کند. ابتدا، دیسکها و درایوهای موجود را شمارش میکند و فقط آنهایی را رمزگذاری میکند که بخشی از فهرست کدگذاریشده آن هستند - دیسکهای D:\، E:\، F:\، G:\، H:\، I:\، و همه موارد فایل های موجود در C:\Users و زیر پوشه های آن. برای جلوگیری از ایجاد هر گونه خطای سیستمی حیاتی در دستگاه که می تواند حتی از مشاهده حمله باج افزار توسط قربانیان جلوگیری کند، CatB بر چندین پسوند فایل خاص - .msi، .exe، .dll، .sys، .iso، و همچنین فایل NTUSER.DAT. توجه داشته باشید که CatB به هیچ وجه نام فایل هایی را که رمزگذاری می کند تغییر نمی دهد.
یک انحراف دیگر از هنجار در نحوه ارائه باجافزار CarB مشاهده میشود. تهدید به جای ایجاد یک فایل متنی با پیام باج خواهی در هر پوشه حاوی داده های قفل شده، پیام خود را به ابتدای هر فایل رمزگذاری شده متصل می کند. این بدان معناست که قربانیان در ابتدا ممکن است در مورد اینکه چرا فایلهایشان خراب به نظر میرسند گیج میشوند و تنها زمانی که میخواهند یکی از فایلهای آسیبدیده را باز کنند، درخواستهای مهاجمان ارائه میشوند. در یادداشت باجگیری آمده است که باجافزار CatB از الگوریتم رمزگذاری RAS-2048 استفاده میکند و اندازه باج درخواستی بر اساس مدت زمانی است که قربانیان باید پرداخت کنند. مبالغ از 50 بیت کوین (800000 دلار) تا 130 بیت کوین (2 میلیون دلار) متغیر است. پس از پنج روز، هکرها تهدید کردند که تمام داده های رمزگذاری شده برای همیشه از بین خواهند رفت. ظاهراً قربانیان می توانند حداکثر 3 فایل را به آدرس ایمیل «catB9991@protonmail.com» ارسال کنند تا به صورت رایگان رمزگشایی شوند.
متن کامل یادداشت باج افزار CatB به شرح زیر است:
'؟؟؟ چه اتفاقی افتاد؟؟؟
!!! فایل های شما رمزگذاری شده است!!!همه فایل های شما با رمزگذاری قوی با RSA-2048 محافظت می شوند.
هیچ نرم افزار رمزگشایی عمومی وجود ندارد.برنامه و کلید خصوصی قیمتش چنده؟ قیمت بستگی به این دارد که با چه سرعتی می توانید به ما پرداخت کنید.
1 روز: 50 بیت کوین
2 روز: 60 بیت کوین
3 روز: 90 بیت کوین
4 روز: 130 بیت کوین
5 روز: از دست دادن دائمی اطلاعات !!!!آدرس Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! پس از دریافت، برنامه و کلید خصوصی را هم اکنون به بخش فناوری اطلاعات شما ارسال خواهیم کرد.!!!رمزگشایی رایگان به عنوان تضمین، می توانید تا 3 فایل رمزگشایی رایگان را قبل از پرداخت برای ما ارسال کنید.
ایمیل: catB9991@protonmail.com!!! سعی نکنید اطلاعات خود را با استفاده از نرم افزارهای شخص ثالث رمزگشایی کنید، این ممکن است منجر به از دست رفتن دائمی اطلاعات شود.!!!
!!! برنامه ما می تواند کامپیوتر شما را در چند دقیقه تعمیر کند.!!!'