CatB Ransomware

A CatB ransomware egy csúnya fenyegetés, amely vállalati entitásokat céloz, és kezdetben a Pandora Ransomware egy változatának tartották a váltságdíj-jegyzeteik közötti hasonlóságok miatt. A kettő azonban meglehetősen különbözik egymástól. A CatB anti-VM technikákat tartalmaz a „valódi gépen” való végrehajtás ellenőrzésére, ezt követi a DLL eldobása és a DLL-eltérítés használata az észlelés kijátszására. A rosszindulatú program két fájlból áll: a „version.dll”-ből, amely UPX-szel van csomagolva, és a virtuálisgép-ellenőrzések elvégzéséért felelős, valamint az „oci.dll”-ből, a zsarolóvírus-csomagból, amely az eldobás után kerül végrehajtásra.

Sandbox környezetek ellenőrzése

A CatB elemzése három különböző módszert tárt fel, amelyeket a fenyegetés használt annak biztosítására, hogy a végrehajtás valódi számítógépen, és nem virtuális gépen/homokozóban történjen. A fenyegetés elvégzi a processzormag ellenőrzését, ellenőrzi a rendszer teljes szabad memóriáját, és figyelembe veszi a csatlakoztatott merevlemez méretét.

A jelenlegi vagy modern számítógépek általában minimális hardverspecifikációval rendelkeznek. Ha a CatB túlságosan eltérõ vagy a várt érték alatti eredményeket észleli, akkor az eredményeket annak jeleként kezeli, hogy nem valós rendszeren futnak. Például a legtöbb számítógép legalább két processzormaggal rendelkezik, így csak egy jelenléte lesz gyanús. Ugyanez vonatkozik a fizikai memória méretére is. A CatB Ransomware kihasználja a GlobalMemoryStatusEx API funkciót a szükséges információk lekéréséhez, és bezárja magát, ha a visszaadott eredmények 2 GB-nál kevesebb fizikai memóriát mutatnak. Végül a zsarolóprogram nem aktiválódik, ha azt állapítja meg, hogy jelenlegi környezetében kevesebb, mint 50 GB szabad hely van a merevlemezen.

DLL-eltérítés és kitartás

Ha az összes anti-VM ellenőrzés sikeres, a dropper folytatja a zsarolóprogramok rakományának (oci.dll) C:\Windows\System32 mappába történő bedobását, és módosítja az MSDTC szolgáltatás konfigurációját (az Elosztott Tranzakciókoordinátor Windows szolgáltatás, amely a felelős). adatbázisok és webszerverek közötti tranzakciók koordinálására). A módosítások közé tartozik a szolgáltatást futtató fiók nevének módosítása Hálózati szolgáltatásról Helyi rendszerre, rendszergazdai jogok megadása, valamint az indítási beállítás Igény szerinti indításról Automatikus indításra történő módosítása, hogy a rendszer újraindítása után is fennmaradjon.

Miután a cseppentő megváltoztatta a szükséges beállításokat, elindítja a szolgáltatást. Ez a szolgáltatás alapértelmezés szerint több DLL-t próbál betölteni a System32 mappából. Ez lehetővé teszi a fenyegetés számára, hogy illegitim DLL-t (például oci.dll) helyezzen el ugyanabba a könyvtárba, lehetővé téve az sérült kód futtatását.

Titkosítási rutin és váltságdíj-igények

Az áldozat adatainak titkosítása abban a pillanatban kezdődik, amikor a CatB Ransomware 'oci.dll' hasznos fájlja betöltődik az 'msdtc.exe' folyamat részeként. Végrehajtása során a CatB számos olyan tulajdonsággal rendelkezik, amelyek megkülönböztetik a gyakoribb ransomware fenyegetésektől. Először is felsorolja a meglévő lemezeket és meghajtókat, és csak azokat titkosítja, amelyek a keménykódolt listájának részét képezik - D:\, E:\, F:\, G:\, H:\, I:\ és az összes a C:\Users és almappáiban található fájlokat. Annak elkerülése érdekében, hogy olyan kritikus rendszerhibákat okozzanak az eszközön, amelyek megakadályozhatják, hogy az áldozatok észrevegyék a zsarolóvírus-támadást, a CatB nem befolyásolja számos konkrét fájlkiterjesztést - .msi, .exe, .dll, .sys, .iso, valamint a NTUSER.DAT fájl. Vegye figyelembe, hogy a CatB semmilyen módon nem változtatja meg az általa titkosított fájlok nevét.

A normától való másik eltérést a CarB Ransomware váltságdíjának kézbesítési módja figyeli meg. Ahelyett, hogy minden zárolt adatokat tartalmazó mappában szöveges fájlt hozna létre a váltságdíjat követelő üzenettel, a fenyegetés minden titkosított fájl elejéhez csatolja üzenetét. Ez azt jelenti, hogy az áldozatok kezdetben összezavarodhatnak azzal kapcsolatban, hogy miért tűnnek sérültnek a fájljaik, és csak a támadók követelései fognak megjelenni, amikor megpróbálják megnyitni valamelyik érintett fájlt. A váltságdíj feljegyzése szerint a CatB Ransomware a RAS-2048 titkosítási algoritmust használja, és a követelt váltságdíj nagysága azon az időn alapul, amely alatt az áldozatok fizetnek. Az összegek 50 Bitcoin (~ 800 000 USD) és 130 Bitcoin (~ 2 millió USD) között mozognak. Öt nap elteltével a hackerek azzal fenyegetőztek, hogy minden titkosított adat végleg elveszik. Úgy tűnik, az áldozatok legfeljebb 3 fájlt küldhetnek a „catB9991@protonmail.com” e-mail címre, hogy ingyenesen visszafejtsék őket.

A CatB Ransomware feljegyzésének teljes szövege a következő:

'??? Mi történt???
!!! A fájljai titkosítva vannak!!!

Minden fájlját erős titkosítás védi az RSA-2048 segítségével.
Nincs nyilvános visszafejtő szoftver.

Program és privát kulcs, mi az ára? Az ár attól függ, hogy milyen gyorsan tud nekünk fizetni.

1 nap: 50 Bitcoin
2 nap: 60 Bitcoin
3 nap: 90 Bitcoin
4 nap: 130 Bitcoin
5 nap: végleges adatvesztés!!!!

Btc-cím: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Miután megkaptuk, azonnal elküldjük a programot és a privát kulcsot az informatikai részlegének.!!!

Ingyenes visszafejtés Garanciaként fizetés előtt legfeljebb 3 ingyenes visszafejtett fájlt küldhet nekünk.
email: catB9991@protonmail.com

!!! Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztéshez vezethet.!!!
!!! Programunk néhány perc alatt megjavítja számítógépét.!!!'