CatB Ransomware

CatB ransomware គឺជាការគំរាមកំហែងដ៏អាក្រក់ដែលផ្តោតលើអង្គភាពសាជីវកម្ម ហើយដំបូងឡើយត្រូវបានគេគិតថាជាបំរែបំរួលនៃ Pandora Ransomware ដោយសារតែភាពស្រដៀងគ្នារវាងកំណត់ត្រាតម្លៃលោះរបស់ពួកគេ។ ទោះ​ជា​យ៉ាង​ណា​ទាំង​ពីរ​គឺ​ខុស​គ្នា​យ៉ាង​ខ្លាំង​។ CatB មានបច្ចេកទេសប្រឆាំង VM សម្រាប់ផ្ទៀងផ្ទាត់ការប្រតិបត្តិនៅលើ 'ម៉ាស៊ីនពិត' បន្ទាប់មកទម្លាក់ DLL និងប្រើការលួច DLL សម្រាប់គោលបំណងគេចពីការរកឃើញ។ មេរោគនេះមានឯកសារពីរ៖ 'version.dll' ដែលផ្ទុកទៅដោយ UPX និងទទួលខុសត្រូវក្នុងការធ្វើការត្រួតពិនិត្យប្រឆាំង VM និង 'oci.dll' ដែលជា ransomware payload ដែលត្រូវបានប្រតិបត្តិបន្ទាប់ពីត្រូវបានទម្លាក់។

កំពុងពិនិត្យមើលបរិស្ថាន Sandbox

ការវិភាគរបស់ CatB បានរកឃើញវិធីសាស្រ្តបីផ្សេងគ្នាដែលត្រូវបានប្រើប្រាស់ដោយការគំរាមកំហែងដើម្បីធានាថាវាត្រូវបានប្រតិបត្តិនៅលើកុំព្យូទ័រពិតប្រាកដ ហើយមិនមែននៅក្នុង VM/sandbox នោះទេ។ ការគំរាមកំហែងនឹងធ្វើការត្រួតពិនិត្យស្នូលរបស់ Processor ផ្ទៀងផ្ទាត់អង្គចងចាំដែលមានសរុបរបស់ប្រព័ន្ធ និងពិចារណាពីទំហំនៃ Hard Drive ដែលបានភ្ជាប់។

កុំព្យូទ័របច្ចុប្បន្ន ឬទំនើបជាធម្មតាមានលក្ខណៈពិសេសផ្នែករឹងតិចតួចបំផុត។ ប្រសិនបើ CatB រកឃើញលទ្ធផលដែលបង្វែរច្រើនពេក ឬទាបជាងតម្លៃដែលរំពឹងទុក វានឹងចាត់ទុកលទ្ធផលជាសញ្ញាបង្ហាញថាវាមិនដំណើរការលើប្រព័ន្ធពិត។ ជាឧទាហរណ៍ កុំព្យូទ័រភាគច្រើននឹងមានស្នូលដំណើរការយ៉ាងហោចណាស់ពីរ ដូច្នេះវត្តមានរបស់តែមួយនឹងត្រូវបានវិនិច្ឆ័យថាគួរឱ្យសង្ស័យ។ ដូចគ្នានេះដែរអនុវត្តចំពោះទំហំអង្គចងចាំរាងកាយ។ CatB Ransomware ទាញយកអត្ថប្រយោជន៍ពីមុខងារ GlobalMemoryStatusEx API ដើម្បីទាញយកព័ត៌មានចាំបាច់ ហើយនឹងបិទដោយខ្លួនវា ប្រសិនបើលទ្ធផលដែលបានត្រឡប់មកវិញបង្ហាញថាមានអង្គចងចាំរាងកាយតិចជាង 2GB។ ជាចុងក្រោយ ransomware នឹងមិនដំណើរការទេ ប្រសិនបើវាកំណត់ថាបរិយាកាសបច្ចុប្បន្នរបស់វាមានទំហំផ្ទុក hard drive តិចជាង 50GB។

ការលួច DLL និងការតស៊ូ

ប្រសិនបើការត្រួតពិនិត្យប្រឆាំង VM ទាំងអស់ឆ្លងកាត់ នោះ dropper នឹងបន្តទម្លាក់ ransomware payload (oci.dll) ទៅក្នុងថត C:\Windows\System32 ហើយកែប្រែការកំណត់នៃសេវាកម្ម MSDTC (សេវាកម្ម Distributed Transaction Coordinator Windows ដែលទទួលខុសត្រូវ។ សម្រាប់ការសម្របសម្រួលប្រតិបត្តិការរវាងមូលដ្ឋានទិន្នន័យ និងម៉ាស៊ីនមេបណ្តាញ)។ ការកែប្រែរួមមានការផ្លាស់ប្តូរឈ្មោះគណនីដែលកំពុងដំណើរការសេវាកម្មពីសេវាបណ្តាញទៅប្រព័ន្ធមូលដ្ឋាន ផ្តល់សិទ្ធិជាអ្នកគ្រប់គ្រង និងផ្លាស់ប្តូរជម្រើសចាប់ផ្តើមរបស់វាពី Demand start ទៅ Auto start ដើម្បីរក្សាភាពស្ថិតស្ថេរបន្ទាប់ពីការចាប់ផ្តើមប្រព័ន្ធឡើងវិញ។

នៅពេលដែល dropper បានផ្លាស់ប្តូរការកំណត់ចាំបាច់ វាចាប់ផ្តើមសេវាកម្ម។ សេវាកម្មនេះនឹងព្យាយាមផ្ទុក DLL ជាច្រើនពីថត System32 តាមលំនាំដើម។ នេះអនុញ្ញាតឱ្យមានការគំរាមកំហែងក្នុងការដាក់ DLL ដែលមិនស្របច្បាប់ (ដូចជា oci.dll) ទៅក្នុងថតដូចគ្នា ដែលអនុញ្ញាតឱ្យវាដំណើរការកូដដែលខូច។

ទម្លាប់នៃការអ៊ិនគ្រីប និងតម្រូវការលោះ

ការអ៊ិនគ្រីបទិន្នន័យរបស់ជនរងគ្រោះចាប់ផ្តើមនៅពេលដែល CatB Ransomware payload file 'oci.dll' ត្រូវបានផ្ទុកជាផ្នែកនៃដំណើរការ 'msdtc.exe'។ កំឡុងពេលប្រតិបត្តិរបស់វា CatB បង្ហាញលក្ខណៈមួយចំនួនដែលកំណត់វាខុសពីការគំរាមកំហែង ransomware ទូទៅ។ ដំបូង វានឹងរាប់បញ្ចូលឌីស និងដ្រាយដែលមានស្រាប់ ហើយគ្រាន់តែអ៊ិនគ្រីបទាំងនោះដែលជាផ្នែកមួយនៃបញ្ជី hardcoded របស់វាប៉ុណ្ណោះ - Disks D:\, E:\, F:\, G:\, H:\, I:\ និងទាំងអស់ ឯកសារដែលមាននៅក្នុង C:\Users និងថតរងរបស់វា។ ដើម្បីជៀសវាងការបង្កបញ្ហាប្រព័ន្ធសំខាន់ណាមួយនៅលើឧបករណ៍ដែលអាចការពារជនរងគ្រោះពីការកត់សម្គាល់ការវាយប្រហារ ransomware នោះ CatB នឹងមិនប៉ះពាល់ដល់ផ្នែកបន្ថែមឯកសារជាក់លាក់មួយចំនួននោះទេ - .msi, .exe, .dll, .sys, .iso ក៏ដូចជា ឯកសារ NTUSER.DAT ។ សូមចំណាំថា CatB មិនផ្លាស់ប្តូរឈ្មោះឯកសារដែលវាអ៊ិនគ្រីបតាមមធ្យោបាយណាមួយឡើយ។

គម្លាតមួយទៀតពីបទដ្ឋានត្រូវបានសង្កេតឃើញតាមរបៀបដែល CarB Ransomware ផ្តល់កំណត់ត្រាតម្លៃលោះរបស់វា។ ជំនួសឱ្យការបង្កើតឯកសារអត្ថបទជាមួយនឹងសារទាមទារតម្លៃលោះនៅក្នុងថតនីមួយៗដែលមានទិន្នន័យចាក់សោ ការគំរាមកំហែងភ្ជាប់សាររបស់វាទៅនឹងការចាប់ផ្តើមនៃរាល់ឯកសារដែលបានអ៊ិនគ្រីប។ នេះមានន័យថា ជនរងគ្រោះដំបូងអាចមានការភ័ន្តច្រឡំអំពីមូលហេតុដែលឯកសាររបស់ពួកគេលេចឡើងដែលខូច ហើយនឹងត្រូវបានបង្ហាញជាមួយនឹងការទាមទាររបស់អ្នកវាយប្រហារ នៅពេលដែលព្យាយាមបើកឯកសារមួយក្នុងចំណោមឯកសារដែលរងផលប៉ះពាល់។ កំណត់ចំណាំតម្លៃលោះចែងថា CatB Ransomware ប្រើក្បួនដោះស្រាយការអ៊ិនគ្រីប RAS-2048 ហើយទំហំនៃតម្លៃលោះដែលទាមទារនឹងផ្អែកលើពេលវេលាដែលជនរងគ្រោះត្រូវការបង់ប្រាក់។ ផលបូកមានចាប់ពី 50 Bitcoin (~$800 000) ដល់ 130 Bitcoin (~$2 លាន)។ បន្ទាប់ពីប្រាំថ្ងៃ ពួក Hacker បានគំរាមកំហែងថាទិន្នន័យដែលបានអ៊ិនគ្រីបទាំងអស់នឹងត្រូវបាត់បង់ជាអចិន្ត្រៃយ៍។ ជាក់ស្តែង ជនរងគ្រោះអាចផ្ញើឯកសាររហូតដល់ 3 ទៅកាន់អាសយដ្ឋានអ៊ីមែល 'catB9991@protonmail.com' ដើម្បីត្រូវបានឌិគ្រីបដោយឥតគិតថ្លៃ។

អត្ថបទពេញលេញនៃកំណត់ចំណាំរបស់ CatB Ransomware គឺ៖

'??? មាន​អ្វី​កើតឡើង???
!!! ឯកសាររបស់អ្នកត្រូវបានអ៊ិនគ្រីប !!!

ឯកសារទាំងអស់របស់អ្នកត្រូវបានការពារដោយការអ៊ិនគ្រីបខ្លាំងជាមួយ RSA-2048។
មិនមានកម្មវិធីឌិគ្រីបសាធារណៈទេ។

កម្មវិធី និងសោឯកជន តម្លៃប៉ុន្មាន? តម្លៃ​អាស្រ័យ​លើ​ល្បឿន​ប៉ុន្មាន​ដែល​អ្នក​អាច​បង់​ឱ្យ​យើង។

1 ថ្ងៃ: 50 Bitcoin
2 ថ្ងៃ: 60 Bitcoin
3 ថ្ងៃ: 90 Bitcoin
4 ថ្ងៃ: 130 Bitcoin
៥ថ្ងៃ៖ បាត់បង់ទិន្នន័យជាអចិន្ត្រៃយ៍ !!!!

អាសយដ្ឋាន Btc៖ bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! បន្ទាប់ពីទទួលបាន យើងនឹងផ្ញើកម្មវិធី និងកូនសោឯកជនទៅកាន់ផ្នែក IT របស់អ្នកឥឡូវនេះ។!!!

ការឌិគ្រីបដោយឥតគិតថ្លៃ ជាការធានា អ្នកអាចផ្ញើឯកសារដែលបានឌិគ្រីបដោយឥតគិតថ្លៃរហូតដល់ 3 មកយើងមុនពេលបង់ប្រាក់។
អ៊ីមែល៖ catB9991@protonmail.com

!!! កុំព្យាយាមឌិគ្រីបទិន្នន័យរបស់អ្នកដោយប្រើកម្មវិធីភាគីទីបី វាអាចបណ្តាលឱ្យបាត់បង់ទិន្នន័យជារៀងរហូត។!!!
!!! កម្មវិធីរបស់យើងអាចជួសជុលកុំព្យូទ័ររបស់អ្នកក្នុងរយៈពេលពីរបីនាទី។!!!'