CatB Ransomware

CatB ransomware yra bjauri grėsmė, nukreipta į verslo subjektus ir iš pradžių buvo manoma, kad tai yra Pandora Ransomware variantas dėl panašumų tarp jų išpirkos raštelių. Tačiau jie abu yra gana skirtingi. CatB yra anti-VM metodų, skirtų tikrinti vykdymą „tikrame kompiuteryje“, po to pašalinant DLL ir naudojant DLL užgrobimą, kad būtų išvengta aptikimo. Kenkėjiška programa susideda iš dviejų failų: „version.dll“, kuris yra supakuotas su UPX ir yra atsakingas už anti-VM patikrų atlikimą, ir „oci.dll“, išpirkos reikalaujančios programos naudingoji apkrova, kuri vykdoma po to, kai ją numetus.

Smėlio dėžės aplinkos tikrinimas

CatB analizė atskleidė tris skirtingus metodus, naudojamus grėsmei, siekiant užtikrinti, kad ji būtų vykdoma tikrame kompiuteryje, o ne VM / smėlio dėžėje. Grėsmė atliks procesoriaus branduolio patikrinimą, patikrins visą laisvą sistemos atmintį ir atsižvelgs į prijungto standžiojo disko dydį.

Dabartiniai arba modernūs kompiuteriai paprastai turi minimalias techninės įrangos specifikacijas. Jei CatB aptinka rezultatus, kurie nukrypsta per daug arba yra mažesni už tikėtiną vertę, jis traktuos rezultatus kaip ženklą, kad jis nėra paleistas tikroje sistemoje. Pavyzdžiui, dauguma kompiuterių turės bent du procesoriaus branduolius, todėl tik vieno buvimas bus vertinamas kaip įtartinas. Tas pats pasakytina apie fizinės atminties dydį. „CatB Ransomware“ naudoja „GlobalMemoryStatusEx“ API funkciją, kad gautų reikiamą informaciją, ir pati užsidarys, jei pateikiami rezultatai rodo mažiau nei 2 GB fizinės atminties. Galiausiai, išpirkos reikalaujanti programa nebus aktyvuota, jei ji nustatys, kad jos dabartinėje aplinkoje yra mažiau nei 50 GB vietos standžiajame diske.

DLL užgrobimas ir patvarumas

Jei visi anti-VM patikrinimai bus sėkmingi, lašintuvas numes išpirkos reikalaujančią programinę įrangą (oci.dll) į aplanką C:\Windows\System32 ir pakeis MSDTC paslaugos konfigūracijas (paskirstytų operacijų koordinatoriaus Windows paslauga, kuri yra atsakinga). operacijoms tarp duomenų bazių ir žiniatinklio serverių koordinuoti). Modifikacijos apima paskyros, kurioje teikiama paslauga, pavadinimo pakeitimą iš tinklo paslaugos į vietinę sistemą, administratoriaus teisių suteikimą ir paleidimo parinkties pakeitimą iš Paleisties pareikalavimo į automatinį paleidimą, kad sistema veiktų iš naujo paleidus sistemą.

Kai lašintuvas pakeičia reikiamus nustatymus, jis paleidžia paslaugą. Ši paslauga pagal numatytuosius nustatymus bandys įkelti kelis DLL iš aplanko System32. Tai leidžia grėsmei įdėti neteisėtą DLL (pvz., oci.dll) į tą patį katalogą, leidžiantį paleisti sugadintą kodą.

Šifravimo rutina ir išpirkos reikalavimai

Aukos duomenų šifravimas pradedamas tuo momentu, kai CatB Ransomware apkrovos failas „oci.dll“ įkeliamas kaip „msdtc.exe“ proceso dalis. Vykdymo metu CatB pasižymi keliomis savybėmis, kurios išskiria jį iš įprastų išpirkos reikalaujančių programų. Pirma, jis išvardins esamus diskus ir įrenginius ir užšifruos tik tuos, kurie yra jo kietojo kodo sąraše – Diskai D:\, E:\, F:\, G:\, H:\, I:\ ir visi failus, esančius C:\Users ir jo poaplankius. Kad įrenginyje nesukeltų kritinių sistemos klaidų, kurios galėtų neleisti aukoms net pastebėti išpirkos reikalaujančios programos atakos, CatB nepaveiks kelių konkrečių failų plėtinių – .msi, .exe, .dll, .sys, .iso, taip pat NTUSER.DAT failas. Atminkite, kad CatB jokiu būdu nekeičia šifruojamų failų pavadinimų.

Kitas nukrypimas nuo normos pastebimas tai, kaip CarB Ransomware pristato išpirkos lakštą. Užuot sukūrusi tekstinį failą su išpirkos reikalaujančiu pranešimu kiekviename aplanke, kuriame yra užrakinti duomenys, grėsmė prideda pranešimą prie kiekvieno užšifruoto failo pradžios. Tai reiškia, kad aukos iš pradžių gali būti supainiotos dėl to, kodėl jų failai atrodo sugadinti, ir bandant atidaryti vieną iš paveiktų failų joms bus pateikti tik užpuoliko reikalavimai. Išpirkos rašte teigiama, kad „CatB Ransomware“ naudoja RAS-2048 šifravimo algoritmą, o reikalaujamos išpirkos dydis bus pagrįstas laiku, per kurį aukos susimokės. Sumos svyruoja nuo 50 Bitcoin (~ 800 000 USD) iki 130 Bitcoin (~ 2 mln. USD). Po penkių dienų įsilaužėliai pagrasino, kad visi užšifruoti duomenys bus prarasti visam laikui. Matyt, aukos gali išsiųsti iki 3 failų el. pašto adresu „catB9991@protonmail.com“, kad būtų nemokamai iššifruoti.

Visas CatB Ransomware pastabos tekstas yra:

'??? Kas atsitiko???
!!! Jūsų failai yra užšifruoti !!!

Visi jūsų failai yra apsaugoti stipriu šifravimu naudojant RSA-2048.
Viešos iššifravimo programinės įrangos nėra.

Programa ir privatus raktas, kokia kaina? Kaina priklauso nuo to, kaip greitai galite mums sumokėti.

1 diena: 50 Bitcoin
2 diena: 60 Bitcoin
3 dienos: 90 Bitcoin
4 dienos: 130 Bitcoin
5 dienos: nuolatinis duomenų praradimas!!!!

BTC adresas: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Gavę programą ir privatų raktą išsiųsime Jūsų IT skyriui jau dabar.!!!

Nemokamas iššifravimas Kaip garantija, prieš mokėdami galite atsiųsti mums iki 3 nemokamų iššifruotų failų.
paštas: catB9991@protonmail.com

!!! Nebandykite iššifruoti savo duomenų naudodami trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą.!!!
!!! Mūsų programa gali sutaisyti jūsų kompiuterį per kelias minutes.!!!'