CatB Ransomware
CatB ransomware on ilkeä uhka, joka kohdistuu yrityksiin, ja sen uskottiin alun perin olevan Pandora Ransomwaren muunnelma, koska niiden lunnaat ovat samankaltaisia. Nämä kaksi ovat kuitenkin hyvin erilaisia. CatB sisältää anti-VM-tekniikoita suorituksen tarkistamiseksi "oikeassa koneessa", jonka jälkeen pudotetaan DLL ja käytetään DLL-kaappausta havaitsemisen välttämiseksi. Haittaohjelma koostuu kahdesta tiedostosta: 'version.dll', joka on pakattu UPX:llä ja vastaa VM-tarkistusten suorittamisesta, ja 'oci.dll', kiristysohjelmien hyötykuormasta, joka suoritetaan pudotuksen jälkeen.
Sisällysluettelo
Hiekkalaatikkoympäristöjen tarkistaminen
CatB:n analyysi on paljastanut kolme erilaista menetelmää, joita uhka käyttää varmistaakseen, että se suoritetaan todellisessa tietokoneessa eikä virtuaalikoneessa/hiekkalaatikossa. Uhka suorittaa suorittimen ydintarkistuksen, tarkistaa järjestelmän käytettävissä olevan muistin kokonaismäärän ja ottaa huomioon kytketyn kiintolevyn koon.
Nykyisillä tai nykyaikaisilla tietokoneilla on tyypillisesti minimaaliset laitteistotiedot. Jos CatB havaitsee tulokset, jotka poikkeavat liikaa tai ovat odotetun arvon alapuolella, se käsittelee tuloksia merkkinä siitä, että sitä ei suoriteta todellisessa järjestelmässä. Esimerkiksi useimmissa tietokoneissa on vähintään kaksi prosessoriydintä, joten vain yhden olemassaolo katsotaan epäilyttäväksi. Sama koskee fyysisen muistin kokoa. CatB Ransomware hyödyntää GlobalMemoryStatusEx API -toimintoa hakeakseen tarvittavat tiedot ja sulkeutuu, jos palautetuissa tuloksissa näkyy alle 2 Gt fyysistä muistia. Lopuksi, kiristysohjelma ei aktivoidu, jos se havaitsee, että sen nykyisessä ympäristössä on alle 50 Gt kiintolevytilaa.
DLL-kaappaus ja pysyvyys
Jos kaikki anti-VM-tarkistukset läpäisevät, dropperi jatkaa ransomware-hyötykuorman (oci.dll) pudottamista C:\Windows\System32-kansioon ja muokkaa MSDTC-palvelun (vastaava Distributed Transaction Coordinator Windows -palvelu) määrityksiä. tietokantojen ja verkkopalvelimien välisten tapahtumien koordinointiin). Muokkauksiin kuuluu palvelua käyttävän tilin nimen muuttaminen verkkopalvelusta paikalliseen järjestelmään, järjestelmänvalvojan oikeuksien myöntäminen ja sen aloitusvaihtoehdon muuttaminen Demand startista automaattiseen käynnistykseen, jotta se pysyy järjestelmän uudelleenkäynnistyksen jälkeen.
Kun tiputin on muuttanut tarvittavia asetuksia, se käynnistää palvelun. Tämä palvelu yrittää oletuksena ladata useita DLL-tiedostoja System32-kansiosta. Tämä sallii uhan tallettaa laittoman DLL:n (kuten oci.dll) samaan hakemistoon, jolloin se voi suorittaa vioittunutta koodia.
Salausrutiini ja Ransom-vaatimukset
Uhrin tietojen salaus alkaa heti, kun CatB Ransomware -tiedosto 'oci.dll' ladataan osana 'msdtc.exe'-prosessia. Suorituksensa aikana CatB:llä on useita ominaisuuksia, jotka erottavat sen yleisimmistä kiristysohjelmauhkista. Ensin se luettelee olemassa olevat levyt ja asemat ja salaa vain ne, jotka ovat osa sen kovakoodattua luetteloa - levyt D:\, E:\, F:\, G:\, H:\, I:\ ja kaikki C:\Usersin ja sen alikansioiden sisältämät tiedostot. Välttääkseen kriittisten järjestelmävirheiden aiheuttamisen laitteessa, jotka voisivat estää uhreja edes huomaamasta kiristysohjelmahyökkäystä, CatB ei vaikuta useisiin tiettyihin tiedostopäätteisiin - .msi, .exe, .dll, .sys, .iso tai NTUSER.DAT-tiedosto. Huomaa, että CatB ei muuta salaamiensa tiedostojen nimiä millään tavalla.
Toinen poikkeama normista havaitaan tavassa, jolla CarB Ransomware toimittaa lunnaita. Sen sijaan, että uhka loisi tekstitiedoston, jossa on lunnaita vaativa viesti jokaiseen lukittua tietoa sisältävään kansioon, uhka liittää viestin jokaisen salatun tiedoston alkuun. Tämä tarkoittaa, että uhrit voivat aluksi olla hämmentyneitä siitä, miksi heidän tiedostonsa vaikuttavat vioittuneilta, ja heille esitetään vain hyökkääjien vaatimukset, kun he yrittävät avata yhden vaikutuksen alaisena olevista tiedostoista. Lunnasilmoituksessa todetaan, että CatB Ransomware käyttää RAS-2048-salausalgoritmia ja vaaditun lunnaiden koko perustuu uhrien maksamiseen kuluvaan aikaan. Summat vaihtelevat 50 Bitcoinista (~ 800 000 dollaria) 130 Bitcoiniin (~ 2 miljoonaa dollaria). Viiden päivän kuluttua hakkerit uhkasivat, että kaikki salatut tiedot katoaisivat pysyvästi. Ilmeisesti uhrit voivat lähettää jopa 3 tiedostoa 'catB9991@protonmail.com' sähköpostiosoitteeseen purettavaksi ilmaiseksi.
CatB Ransomwaren huomautuksen koko teksti on:
'??? Mitä tapahtui???
!!! Tiedostosi on salattu!!!Kaikki tiedostosi on suojattu vahvalla RSA-2048-salauksella.
Julkista salauksenpurkuohjelmistoa ei ole.Ohjelma ja yksityinen avain, mikä on hinta? Hinta riippuu siitä, kuinka nopeasti pystyt maksamaan meille.
1 päivä: 50 Bitcoinia
2 päivää: 60 Bitcoinia
3 päivää: 90 Bitcoinia
4 päivää: 130 Bitcoinia
5 päivää: pysyvä tietojen menetys!!!!Btc-osoite: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Vastaanotettuamme lähetämme ohjelman ja yksityisen avaimen IT-osastollesi heti.!!!Ilmainen salauksen purku Takuuna voit lähettää meille jopa 3 ilmaista salauksenpurkua ennen maksua.
sähköposti: catB9991@protonmail.com!!! Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, tämä voi johtaa pysyvään tietojen menetykseen.!!!
!!! Ohjelmamme voi korjata tietokoneesi muutamassa minuutissa.!!!'
