CatB Ransomware

CatB रैंसमवेयर एक बुरा खतरा है जो कॉर्पोरेट संस्थाओं को लक्षित करता है और शुरू में उनके फिरौती के नोटों के बीच समानता के कारण इसे Pandora रैंसमवेयर का एक प्रकार माना गया था। हालांकि, दोनों काफी अलग हैं। CatB में एक 'वास्तविक मशीन' पर निष्पादन की पुष्टि करने के लिए एंटी-वीएम तकनीकें हैं, इसके बाद DLL को छोड़ना और चोरी का पता लगाने के उद्देश्यों के लिए DLL अपहरण का उपयोग करना। मैलवेयर में दो फाइलें होती हैं: 'version.dll', जो UPX से भरी होती है और एंटी-वीएम चेक करने के लिए जिम्मेदार होती है, और 'oci.dll', रैंसमवेयर पेलोड, जो गिराए जाने के बाद निष्पादित हो जाता है।

सैंडबॉक्स वातावरण के लिए जाँच की जा रही है

CatB के विश्लेषण ने खतरे द्वारा उपयोग किए गए तीन अलग-अलग तरीकों को उजागर किया है ताकि यह सुनिश्चित किया जा सके कि इसे वास्तविक कंप्यूटर पर निष्पादित किया जा रहा है न कि VM/सैंडबॉक्स में। खतरा एक प्रोसेसर कोर जांच करेगा, सिस्टम की कुल उपलब्ध मेमोरी को सत्यापित करेगा, और कनेक्टेड हार्ड ड्राइव के आकार पर विचार करेगा।

वर्तमान या आधुनिक कंप्यूटरों में आमतौर पर न्यूनतम हार्डवेयर विनिर्देश होते हैं। यदि कैटबी उन परिणामों का पता लगाता है जो बहुत अधिक विचलन करते हैं या अपेक्षित मूल्य से कम हैं, तो यह परिणामों को वास्तविक प्रणाली पर नहीं चलने के संकेत के रूप में मानेगा। उदाहरण के लिए, अधिकांश कंप्यूटरों में कम से कम दो प्रोसेसर कोर होंगे, इसलिए केवल एक की उपस्थिति को संदिग्ध माना जाएगा। भौतिक स्मृति आकार पर भी यही बात लागू होती है। CatB Ransomware आवश्यक जानकारी प्राप्त करने के लिए GlobalMemoryStatusEx API फ़ंक्शन का लाभ उठाता है और यदि लौटाए गए परिणाम 2GB से कम भौतिक मेमोरी दिखाते हैं तो यह स्वयं को बंद कर देगा। अंत में, रैंसमवेयर सक्रिय नहीं होगा यदि यह निर्धारित करता है कि इसके वर्तमान वातावरण में 50GB से कम हार्ड ड्राइव स्थान है।

डीएलएल अपहरण और दृढ़ता

यदि सभी एंटी-वीएम चेक पास हो जाते हैं, तो ड्रॉपर रैंसमवेयर पेलोड (oci.dll) को C:\Windows\System32 फ़ोल्डर में छोड़ने के लिए आगे बढ़ेगा और MSDTC सेवा (वितरित लेनदेन समन्वयक विंडोज सेवा, जो जिम्मेदार है) के कॉन्फ़िगरेशन को संशोधित करेगा। डेटाबेस और वेब सर्वर के बीच लेनदेन के समन्वय के लिए)। संशोधन में सेवा चलाने वाले खाते का नाम नेटवर्क सेवा से स्थानीय सिस्टम में बदलना, उसे व्यवस्थापकीय अधिकार प्रदान करना, और सिस्टम के पुनरारंभ होने के बाद दृढ़ता बनाए रखने के लिए इसके प्रारंभ विकल्प को डिमांड प्रारंभ से ऑटो प्रारंभ में बदलना शामिल है।

एक बार ड्रॉपर ने आवश्यक सेटिंग्स बदल दी हैं, यह सेवा लॉन्च करता है। यह सेवा डिफ़ॉल्ट रूप से System32 फ़ोल्डर से एकाधिक DLL लोड करने का प्रयास करेगी। यह एक अवैध DLL (जैसे oci.dll) को उसी निर्देशिका में जमा करने की धमकी देता है, जिससे यह दूषित कोड चलाने की अनुमति देता है।

एन्क्रिप्शन रूटीन और फिरौती की मांग

पीड़ित के डेटा का एन्क्रिप्शन उस क्षण से शुरू होता है जब CatB Ransomware पेलोड फ़ाइल 'oci.dll' को 'msdtc.exe' प्रक्रिया के भाग के रूप में लोड किया जाता है। इसके निष्पादन के दौरान, CatB कई विशेषताओं को प्रदर्शित करता है जो इसे अधिक सामान्य रैंसमवेयर खतरों से अलग करता है। सबसे पहले, यह मौजूदा डिस्क और ड्राइव की गणना करेगा और केवल उन्हें एन्क्रिप्ट करेगा जो इसकी हार्डकोडेड सूची का हिस्सा हैं - डिस्क डी: \, ई: \, एफ: \, जी: \, एच: \, आई: \, और सभी C:\Users और इसके उप-फ़ोल्डरों में निहित फ़ाइलें। डिवाइस पर किसी भी महत्वपूर्ण सिस्टम त्रुटि के कारण से बचने के लिए जो पीड़ितों को रैनसमवेयर हमले को नोटिस करने से रोक सकता है, कैटबी कई विशिष्ट फ़ाइल एक्सटेंशन - .msi, .exe, .dll, .sys, .iso, साथ ही साथ को प्रभावित नहीं करेगा। NTUSER.DAT फ़ाइल। ध्यान दें कि CatB किसी भी तरह से एन्क्रिप्ट की गई फ़ाइलों के नाम नहीं बदलता है।

मानदंड से एक और विचलन देखा गया है जिस तरह से CarB Ransomware अपना फिरौती नोट वितरित करता है। लॉक किए गए डेटा वाले प्रत्येक फ़ोल्डर में फिरौती मांगने वाले संदेश के साथ एक पाठ फ़ाइल बनाने के बजाय, खतरा अपने संदेश को प्रत्येक एन्क्रिप्टेड फ़ाइल की शुरुआत में संलग्न करता है। इसका मतलब यह है कि पीड़ित शुरू में भ्रमित हो सकते हैं कि उनकी फाइलें दूषित क्यों दिखाई देती हैं और प्रभावित फाइलों में से किसी एक को खोलने का प्रयास करते समय हमलावरों की मांगों के साथ ही प्रस्तुत किया जाएगा। फिरौती के नोट में कहा गया है कि कैटबी रैंसमवेयर आरएएस-2048 एन्क्रिप्शन एल्गोरिथम का उपयोग करता है और फिरौती की मांग का आकार पीड़ितों को भुगतान करने में लगने वाले समय पर आधारित होगा। रकम 50 बिटकॉइन (~$800 000) से लेकर 130 बिटकॉइन (~$2 मिलियन) तक है। पांच दिनों के बाद, हैकर्स ने धमकी दी कि सभी एन्क्रिप्टेड डेटा हमेशा के लिए खो जाएंगे। जाहिरा तौर पर, पीड़ित 3 फ़ाइलों को 'catB9991@protonmail.com' ईमेल पते पर मुफ्त में डिक्रिप्ट करने के लिए भेज सकते हैं।

CatB Ransomware के नोट का पूरा पाठ है:

'??? क्या हुआ???
!!! आपकी फ़ाइलें एन्क्रिप्ट की गई हैं!!!

आपकी सभी फाइलें RSA-2048 के साथ मजबूत एन्क्रिप्शन द्वारा सुरक्षित हैं।
कोई सार्वजनिक डिक्रिप्शन सॉफ्टवेयर नहीं है।

कार्यक्रम और निजी कुंजी, कीमत क्या है? कीमत इस बात पर निर्भर करती है कि आप हमें कितनी तेजी से भुगतान कर सकते हैं।

1 दिन : 50 बिटकॉइन
2 दिन : 60 बिटकॉइन
3 दिन: 90 बिटकॉइन
4 दिन : 130 बिटकॉइन
5 दिन : स्थायी डेटा हानि !!!!

बीटीसी पता: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! प्राप्त करने के बाद, हम अभी आपके IT विभाग को प्रोग्राम और निजी कुंजी भेजेंगे।!!!

नि:शुल्क डिक्रिप्शन एक गारंटी के रूप में, आप हमें भुगतान से पहले अधिकतम 3 डिक्रिप्टेड फाइलें मुफ्त में भेज सकते हैं।
ईमेल: catB9991@protonmail.com

!!! तृतीय-पक्ष सॉफ़्टवेयर का उपयोग करके अपने डेटा को डिक्रिप्ट करने का प्रयास न करें, इससे स्थायी डेटा हानि हो सकती है।!!!
!!! हमारा प्रोग्राम आपके कंप्यूटर को कुछ ही मिनटों में ठीक कर सकता है।!!!'