CatB Ransomware

CatB ransomware je gadna prijetnja koja cilja na korporativne subjekte i isprva se mislilo da je varijanta Pandora Ransomwarea zbog sličnosti između njihovih bilješki o otkupnini. Međutim, njih dvoje se prilično razlikuju. CatB sadrži anti-VM tehnike za provjeru izvršenja na 'stvarnom stroju', nakon čega slijedi ispuštanje DLL-a i korištenje otmice DLL-a u svrhu izbjegavanja otkrivanja. Zlonamjerni se softver sastoji od dvije datoteke: 'version.dll', koja je pakirana s UPX-om i odgovorna je za provođenje anti-VM provjera, i 'oci.dll', ransomware korisni teret, koji se izvršava nakon što se ispusti.

Provjera za Sandbox okruženja

Analiza CatB-a otkrila je tri različite metode koje prijetnja koristi kako bi osigurala da se izvršava na stvarnom računalu, a ne u VM-u/sandboxu. Prijetnja će izvršiti provjeru jezgre procesora, provjeriti ukupnu dostupnu memoriju sustava i uzeti u obzir veličinu povezanog tvrdog diska.

Sadašnja ili moderna računala obično imaju minimalne hardverske specifikacije. Ako CatB otkrije rezultate koji previše odstupaju ili su ispod očekivane vrijednosti, rezultate će tretirati kao znak da se ne izvodi na stvarnom sustavu. Na primjer, većina računala će imati najmanje dvije procesorske jezgre, tako da će prisutnost samo jedne biti ocijenjena kao sumnjiva. Isto vrijedi i za veličinu fizičke memorije. CatB Ransomware koristi funkciju GlobalMemoryStatusEx API za dohvaćanje potrebnih informacija i zatvorit će se ako vraćeni rezultati pokažu manje od 2 GB fizičke memorije. Konačno, ransomware se neće aktivirati ako utvrdi da njegovo trenutno okruženje ima manje od 50 GB prostora na tvrdom disku.

Otimanje DLL-a i postojanost

Ako sve anti-VM provjere prođu, dropper će nastaviti s ispuštanjem ransomware korisnih podataka (oci.dll) u mapu C:\Windows\System32 i izmijeniti konfiguracije usluge MSDTC (servis Distributed Transaction Coordinator Windows, koji je odgovoran za koordinaciju transakcija između baza podataka i web poslužitelja). Izmjene uključuju promjenu naziva računa koji pokreće uslugu iz mrežne usluge u lokalni sustav, dodjeljivanje administratorskih prava i promjenu opcije pokretanja iz pokretanja zahtjeva u automatsko pokretanje kako bi se održala postojanost nakon ponovnog pokretanja sustava.

Nakon što dropper promijeni potrebne postavke, pokreće uslugu. Ova će usluga zadano pokušati učitati više DLL-ova iz mape System32. Ovo omogućuje prijetnji da deponira nelegitimni DLL (kao što je oci.dll) u isti direktorij, dopuštajući mu pokretanje oštećenog koda.

Rutina šifriranja i zahtjevi za otkupninom

Enkripcija žrtvinih podataka počinje u trenutku kada se datoteka korisnih podataka CatB Ransomwarea 'oci.dll' učita kao dio procesa 'msdtc.exe'. Tijekom svog izvođenja, CatB pokazuje nekoliko karakteristika koje ga izdvajaju od uobičajenih prijetnji ransomwarea. Prvo će nabrojati postojeće diskove i pogone i šifrirati samo one koji su dio njegovog tvrdo kodiranog popisa - Diskovi D:\, E:\, F:\, G:\, H:\, I:\ i svi datoteke sadržane u C:\Users i njegovim podmapama. Kako bi se izbjeglo izazivanje bilo kakvih kritičnih grešaka sustava na uređaju koje bi mogle spriječiti žrtve da uopće primijete napad ransomwarea, CatB neće utjecati na nekoliko specifičnih ekstenzija datoteka - .msi, .exe, .dll, .sys, .iso, kao ni na NTUSER.DAT datoteka. Imajte na umu da CatB ni na koji način ne mijenja nazive datoteka koje šifrira.

Još jedno odstupanje od norme uočeno je u načinu na koji CarB Ransomware dostavlja svoju poruku o otkupnini. Umjesto stvaranja tekstualne datoteke s porukom o traženju otkupnine u svakoj mapi koja sadrži zaključane podatke, prijetnja prilaže svoju poruku na početak svake šifrirane datoteke. To znači da bi žrtve u početku mogle biti zbunjene oko toga zašto se njihove datoteke čine oštećenima i bit će predstavljene samo zahtjeve napadača kada pokušaju otvoriti jednu od pogođenih datoteka. U obavijesti o otkupnini stoji da CatB Ransomware koristi algoritam šifriranja RAS-2048 i da će se veličina tražene otkupnine temeljiti na vremenu potrebnom žrtvama da plate. Iznosi se kreću od 50 Bitcoina (~800 000 USD) do 130 Bitcoina (~2 milijuna USD). Nakon pet dana hakeri su zaprijetili da će svi kriptirani podaci biti trajno izgubljeni. Očigledno, žrtve mogu poslati do 3 datoteke na 'catB9991@protonmail.com' adresu e-pošte da se besplatno dekriptiraju.

Potpuni tekst CatB Ransomware bilješke je:

'??? Što se dogodilo???
!!! Vaše datoteke su šifrirane !!!

Sve vaše datoteke zaštićene su snažnom enkripcijom s RSA-2048.
Ne postoji javni softver za dešifriranje.

Program i privatni ključ, koja je cijena? Cijena ovisi o tome koliko brzo nam možete platiti.

1 dan: 50 Bitcoina
2 dan: 60 Bitcoina
3 dan: 90 Bitcoina
4 dan: 130 Bitcoina
5 dan: trajni gubitak podataka!!!!

Btc adresa: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Nakon primitka, odmah ćemo poslati program i privatni ključ vašem IT odjelu.!!!

Besplatno dešifriranje Kao jamstvo, možete nam poslati do 3 besplatne dešifrirane datoteke prije plaćanja.
e-pošta: catB9991@protonmail.com

!!! Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može dovesti do trajnog gubitka podataka.!!!
!!! Naš program može popraviti vaše računalo u nekoliko minuta.!!!'