CatB Ransomware

باج افزار CatB یک تهدید ناخوشایند است که نهادهای شرکتی را هدف قرار می دهد و در ابتدا تصور می شد به دلیل شباهت هایی که بین یادداشت های باج افزار آنها وجود دارد، نوعی از باج افزار Pandora باشد. با این حال، این دو کاملاً متمایز هستند. CatB حاوی تکنیک‌های ضد VM برای تأیید اجرا در یک «ماشین واقعی»، و به دنبال آن حذف یک DLL و استفاده از ربودن DLL برای اهداف فرار از تشخیص است. این بدافزار از دو فایل تشکیل شده است: 'version.dll' که با UPX بسته بندی شده و مسئول انجام بررسی های ضد VM است و 'oci.dll'، باری باج افزار که پس از حذف اجرا می شود.

بررسی محیط های Sandbox

تجزیه و تحلیل CatB سه روش مختلف را کشف کرده است که توسط تهدید برای اطمینان از اجرای آن بر روی یک کامپیوتر واقعی و نه در VM/sandbox استفاده می شود. این تهدید یک بررسی هسته پردازشگر را انجام می دهد، کل حافظه موجود سیستم را تأیید می کند و اندازه هارد دیسک متصل را در نظر می گیرد.

کامپیوترهای فعلی یا مدرن معمولا حداقل مشخصات سخت افزاری دارند. اگر CatB نتایجی را تشخیص دهد که بیش از حد انحراف دارند یا کمتر از مقدار مورد انتظار هستند، نتایج را به عنوان نشانه ای از اجرا نشدن آن در یک سیستم واقعی تلقی می کند. به عنوان مثال، اکثر رایانه ها حداقل دو هسته پردازشگر خواهند داشت، بنابراین وجود تنها یک هسته مشکوک ارزیابی می شود. همین امر در مورد اندازه حافظه فیزیکی نیز صدق می کند. باج‌افزار CatB از عملکرد GlobalMemoryStatusEx API برای بازیابی اطلاعات لازم استفاده می‌کند و اگر نتایج بازگردانده شده کمتر از 2 گیگابایت حافظه فیزیکی را نشان دهد، خودش را می‌بندد. در نهایت، اگر باج افزار تشخیص دهد که محیط فعلی آن کمتر از 50 گیگابایت فضای هارد دیسک دارد، فعال نمی شود.

ربودن DLL و ماندگاری

اگر تمام بررسی‌های ضد VM انجام شود، قطره‌نگار به رها کردن بار باج‌افزار (oci.dll) در پوشه C:\Windows\System32 و تغییر تنظیمات سرویس MSDTC (سرویس Windows Distributed Transaction Coordinator، که مسئول آن است) ادامه می‌دهد. برای هماهنگ کردن تراکنش ها بین پایگاه های داده و سرورهای وب). تغییرات شامل تغییر نام حسابی که سرویس را اجرا می کند از سرویس شبکه به سیستم محلی، اعطای حقوق مدیریت به آن و تغییر گزینه شروع آن از شروع تقاضا به شروع خودکار برای حفظ پایداری پس از راه اندازی مجدد سیستم است.

هنگامی که قطره چکان تنظیمات لازم را تغییر داد، سرویس را راه اندازی می کند. این سرویس به طور پیش فرض سعی می کند چندین DLL را از پوشه System32 بارگیری کند. این به تهدید اجازه می دهد تا یک DLL نامشروع (مانند oci.dll) را در همان فهرست قرار دهد و به آن امکان می دهد کدهای خراب را اجرا کند.

روال رمزگذاری و تقاضاهای باج

رمزگذاری داده‌های قربانی از لحظه‌ای شروع می‌شود که فایل «oci.dll» باج‌افزار CatB به عنوان بخشی از فرآیند «msdtc.exe» بارگیری می‌شود. در طول اجرای خود، CatB چندین ویژگی را نشان می دهد که آن را از تهدیدهای باج افزار رایج تر متمایز می کند. ابتدا، دیسک‌ها و درایوهای موجود را شمارش می‌کند و فقط آنهایی را رمزگذاری می‌کند که بخشی از فهرست کدگذاری‌شده آن هستند - دیسک‌های D:\، E:\، F:\، G:\، H:\، I:\، و همه موارد فایل های موجود در C:\Users و زیر پوشه های آن. برای جلوگیری از ایجاد هر گونه خطای سیستمی حیاتی در دستگاه که می تواند حتی از مشاهده حمله باج افزار توسط قربانیان جلوگیری کند، CatB بر چندین پسوند فایل خاص - .msi، .exe، .dll، .sys، .iso، و همچنین فایل NTUSER.DAT. توجه داشته باشید که CatB به هیچ وجه نام فایل هایی را که رمزگذاری می کند تغییر نمی دهد.

یک انحراف دیگر از هنجار در نحوه ارائه باج‌افزار CarB مشاهده می‌شود. تهدید به جای ایجاد یک فایل متنی با پیام باج خواهی در هر پوشه حاوی داده های قفل شده، پیام خود را به ابتدای هر فایل رمزگذاری شده متصل می کند. این بدان معناست که قربانیان در ابتدا ممکن است در مورد اینکه چرا فایل‌هایشان خراب به نظر می‌رسند گیج می‌شوند و تنها زمانی که می‌خواهند یکی از فایل‌های آسیب‌دیده را باز کنند، درخواست‌های مهاجمان ارائه می‌شوند. در یادداشت باج‌گیری آمده است که باج‌افزار CatB از الگوریتم رمزگذاری RAS-2048 استفاده می‌کند و اندازه باج درخواستی بر اساس مدت زمانی است که قربانیان باید پرداخت کنند. مبالغ از 50 بیت کوین (800000 دلار) تا 130 بیت کوین (2 میلیون دلار) متغیر است. پس از پنج روز، هکرها تهدید کردند که تمام داده های رمزگذاری شده برای همیشه از بین خواهند رفت. ظاهراً قربانیان می توانند حداکثر 3 فایل را به آدرس ایمیل «catB9991@protonmail.com» ارسال کنند تا به صورت رایگان رمزگشایی شوند.

متن کامل یادداشت باج افزار CatB به شرح زیر است:

'؟؟؟ چه اتفاقی افتاد؟؟؟
!!! فایل های شما رمزگذاری شده است!!!

همه فایل های شما با رمزگذاری قوی با RSA-2048 محافظت می شوند.
هیچ نرم افزار رمزگشایی عمومی وجود ندارد.

برنامه و کلید خصوصی قیمتش چنده؟ قیمت بستگی به این دارد که با چه سرعتی می توانید به ما پرداخت کنید.

1 روز: 50 بیت کوین
2 روز: 60 بیت کوین
3 روز: 90 بیت کوین
4 روز: 130 بیت کوین
5 روز: از دست دادن دائمی اطلاعات !!!!

آدرس Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! پس از دریافت، برنامه و کلید خصوصی را هم اکنون به بخش فناوری اطلاعات شما ارسال خواهیم کرد.!!!

رمزگشایی رایگان به عنوان تضمین، می توانید تا 3 فایل رمزگشایی رایگان را قبل از پرداخت برای ما ارسال کنید.
ایمیل: catB9991@protonmail.com

!!! سعی نکنید اطلاعات خود را با استفاده از نرم افزارهای شخص ثالث رمزگشایی کنید، این ممکن است منجر به از دست رفتن دائمی اطلاعات شود.!!!
!!! برنامه ما می تواند کامپیوتر شما را در چند دقیقه تعمیر کند.!!!'