CatB Ransomware
CatB izpirkuma programmatūra ir nepatīkams drauds, kas ir vērsts uz korporatīvajām struktūrām, un sākotnēji tika uzskatīts, ka tā ir Pandora Ransomware variants, jo to izpirkuma piezīmes ir līdzīgas. Tomēr abi ir diezgan atšķirīgi. CatB satur anti-VM paņēmienus, lai pārbaudītu izpildi “īstā mašīnā”, kam seko DLL atmešana un DLL nolaupīšanas izmantošana atklāšanas nolūkos. Ļaunprātīgā programmatūra sastāv no diviem failiem: “version.dll”, kas ir aprīkots ar UPX un ir atbildīgs par anti-VM pārbaužu veikšanu, un “oci.dll”, izspiedējprogrammatūras slodze, kas tiek izpildīta pēc atmešanas.
Satura rādītājs
Smilškastes vides pārbaude
CatB analīze atklāja trīs dažādas metodes, kuras izmanto draudi, lai nodrošinātu, ka tas tiek izpildīts reālā datorā, nevis virtuālajā mašīnā/smilšu kastē. Draudi veiks procesora kodola pārbaudi, pārbaudīs sistēmas kopējo pieejamo atmiņu un ņems vērā pievienotā cietā diska izmēru.
Pašreizējiem vai moderniem datoriem parasti ir minimālas aparatūras specifikācijas. Ja CatB konstatē rezultātus, kas novirzās pārāk daudz vai ir zem paredzamās vērtības, tas uzskatīs rezultātus par zīmi, ka tie netiek palaisti reālā sistēmā. Piemēram, lielākajai daļai datoru būs vismaz divi procesora kodoli, tāpēc tikai viena klātbūtne tiks vērtēta kā aizdomīga. Tas pats attiecas uz fiziskās atmiņas lielumu. CatB Ransomware izmanto GlobalMemoryStatusEx API funkciju, lai izgūtu nepieciešamo informāciju, un pati aizvērsies, ja atgrieztajos rezultātos tiks parādīta mazāk nekā 2 GB fiziskās atmiņas. Visbeidzot, izpirkuma programmatūra neaktivizēsies, ja tā konstatēs, ka tās pašreizējā vidē ir mazāk nekā 50 GB vietas cietajā diskā.
DLL nolaupīšana un noturība
Ja visas anti-VM pārbaudes ir izturētas, pilinātājs turpinās nomest izspiedējvīrusa lietderīgo slodzi (oci.dll) mapē C:\Windows\System32 un modificēt pakalpojuma MSDTC konfigurācijas (atbildīgais pakalpojums Distributed Transaction Coordinator) darījumu koordinēšanai starp datu bāzēm un tīmekļa serveriem). Modifikācijās ietilpst tā konta nosaukuma maiņa, kurā tiek izmantots pakalpojums, no tīkla pakalpojuma uz vietējo sistēmu, administratora tiesību piešķiršana un sākuma opcijas maiņa no Pieprasījuma sākuma uz Auto start, lai saglabātu noturību pēc sistēmas restartēšanas.
Kad pilinātājs ir mainījis nepieciešamos iestatījumus, tas palaiž pakalpojumu. Šis pakalpojums pēc noklusējuma mēģinās ielādēt vairākus DLL no mapes System32. Tas ļauj apdraudēt neleģitīmu DLL (piemēram, oci.dll) tajā pašā direktorijā, ļaujot tam palaist bojātu kodu.
Šifrēšanas kārtība un izpirkuma maksas prasības
Upura datu šifrēšana sākas brīdī, kad CatB Ransomware derīgās slodzes fails “oci.dll” tiek ielādēts kā daļa no procesa “msdtc.exe”. Izpildes laikā CatB ir vairākas īpašības, kas to atšķir no biežāk sastopamajiem izpirkuma programmatūras draudiem. Pirmkārt, tajā tiks uzskaitīti esošie diski un diskdziņi un tiks šifrēti tikai tie, kas ir daļa no cietā koda saraksta — diski D:\, E:\, F:\, G:\, H:\, I:\ un visi faili, kas atrodas mapē C:\Users un tā apakšmapēs. Lai ierīcē neradītu kritiskas sistēmas kļūdas, kas varētu neļaut upuriem pat pamanīt izspiedējvīrusa uzbrukumu, CatB neietekmēs vairākus konkrētus failu paplašinājumus - .msi, .exe, .dll, .sys, .iso, kā arī NTUSER.DAT fails. Ņemiet vērā, ka CatB nekādā veidā nemaina šifrēto failu nosaukumus.
Vēl viena novirze no normas tiek novērota veidā, kā CarB Ransomware piegādā savu izpirkuma maksu. Tā vietā, lai katrā mapē, kurā ir bloķēti dati, izveidotu teksta failu ar ziņojumu, kurā ir pieprasīta izpirkuma maksa, draudi pievieno savu ziņojumu katra šifrētā faila sākumam. Tas nozīmē, ka upuri sākotnēji varētu būt neizpratnē par to, kāpēc viņu faili šķiet bojāti, un viņiem tiks iesniegtas tikai uzbrucēju prasības, mēģinot atvērt kādu no ietekmētajiem failiem. Izpirkuma piezīmē teikts, ka CatB Ransomware izmanto RAS-2048 šifrēšanas algoritmu un pieprasītās izpirkuma maksas lielums tiks noteikts, pamatojoties uz laiku, kas nepieciešams upuriem, lai samaksātu. Summas svārstās no 50 Bitcoin (~ $ 800 000) līdz 130 Bitcoin (~ $ 2 miljoni). Pēc piecām dienām hakeri draudēja, ka visi šifrētie dati tiks neatgriezeniski zaudēti. Acīmredzot upuri uz e-pasta adresi “catB9991@protonmail.com” var nosūtīt līdz pat 3 failiem, lai tie tiktu atšifrēti bez maksas.
Pilns CatB Ransomware piezīmes teksts ir:
'??? Kas notika???
!!! Jūsu faili ir šifrēti!!!Visi jūsu faili ir aizsargāti ar spēcīgu šifrēšanu ar RSA-2048.
Nav publiskas atšifrēšanas programmatūras.Programma un privātā atslēga, kāda ir cena? Cena ir atkarīga no tā, cik ātri varat mums samaksāt.
1 diena: 50 Bitcoin
2 diena: 60 Bitcoin
3 dienas: 90 Bitcoin
4 dienas: 130 Bitcoin
5 dienas: pastāvīgs datu zudums!!!!Btc adrese: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Pēc saņemšanas mēs tūlīt nosūtīsim programmu un privāto atslēgu jūsu IT nodaļai.!!!Bezmaksas atšifrēšana Kā garantija, jūs varat nosūtīt mums līdz pat 3 bezmaksas atšifrētiem failiem pirms maksājuma.
e-pasts: catB9991@protonmail.com!!! Nemēģiniet atšifrēt savus datus, izmantojot trešās puses programmatūru, jo tas var izraisīt neatgriezenisku datu zudumu.!!!
!!! Mūsu programma var salabot jūsu datoru dažu minūšu laikā.!!!'
