CatB Ransomware
Perisian tebusan CatB ialah ancaman jahat yang menyasarkan entiti korporat dan pada mulanya dianggap sebagai varian Pandora Ransomware kerana persamaan antara nota tebusan mereka. Walau bagaimanapun, kedua-duanya agak berbeza. CatB mengandungi teknik anti-VM untuk mengesahkan pelaksanaan pada 'mesin sebenar,' diikuti dengan menjatuhkan DLL dan menggunakan rampasan DLL untuk tujuan pengelakan pengesanan. Malware ini terdiri daripada dua fail: 'version.dll,' yang padat dengan UPX dan bertanggungjawab untuk menjalankan semakan anti-VM, dan 'oci.dll,' muatan perisian tebusan, yang akan dilaksanakan selepas digugurkan.
Isi kandungan
Menyemak Persekitaran Kotak Pasir
Analisis CatB telah menemui tiga kaedah berbeza yang digunakan oleh ancaman untuk memastikan ia dilaksanakan pada komputer sebenar dan bukan dalam VM/kotak pasir. Ancaman akan melakukan semakan teras Pemproses, mengesahkan jumlah memori tersedia sistem dan mempertimbangkan saiz Pemacu Keras yang disambungkan.
Komputer semasa atau moden biasanya mempunyai spesifikasi perkakasan yang minimum. Jika CatB mengesan keputusan yang menyimpang terlalu banyak atau berada di bawah nilai yang dijangkakan, ia akan menganggap keputusan itu sebagai tanda ia tidak dijalankan pada sistem sebenar. Sebagai contoh, kebanyakan komputer akan mempunyai sekurang-kurangnya dua teras pemproses, jadi kehadiran hanya satu akan dinilai sebagai mencurigakan. Perkara yang sama berlaku untuk saiz memori fizikal. CatB Ransomware mengambil kesempatan daripada fungsi API GlobalMemoryStatusEx untuk mendapatkan semula maklumat yang diperlukan dan akan menutup sendiri jika hasil yang dikembalikan menunjukkan memori fizikal kurang daripada 2GB. Akhirnya, perisian tebusan tidak akan diaktifkan jika ia menentukan bahawa persekitaran semasanya mempunyai kurang daripada 50GB ruang cakera keras.
Rampasan DLL dan Kegigihan
Jika semua pemeriksaan anti-VM lulus, penitis akan meneruskan untuk menjatuhkan muatan perisian tebusan (oci.dll) ke dalam folder C:\Windows\System32 dan mengubah suai konfigurasi perkhidmatan MSDTC (perkhidmatan Windows Penyelaras Transaksi Teragih, yang bertanggungjawab untuk menyelaraskan transaksi antara pangkalan data dan pelayan Web). Pengubahsuaian termasuk menukar nama akaun yang menjalankan perkhidmatan daripada Perkhidmatan Rangkaian kepada Sistem Setempat, memberikannya hak pentadbir dan mengubah pilihan mulanya daripada Permintaan mula kepada Mula automatik untuk mengekalkan kegigihan selepas sistem dimulakan semula.
Sebaik sahaja penitis telah mengubah tetapan yang diperlukan, ia melancarkan perkhidmatan. Perkhidmatan ini secara lalai akan cuba memuatkan berbilang DLL daripada folder System32. Ini membenarkan ancaman untuk mendepositkan DLL yang tidak sah (seperti oci.dll) ke dalam direktori yang sama, membolehkannya menjalankan kod yang rosak.
Rutin Penyulitan dan Permintaan Tebusan
Penyulitan data mangsa bermula apabila fail muatan CatB Ransomware 'oci.dll' dimuatkan sebagai sebahagian daripada proses 'msdtc.exe'. Semasa pelaksanaannya, CatB mempamerkan beberapa ciri yang membezakannya daripada ancaman perisian tebusan yang lebih biasa. Pertama, ia akan menyenaraikan cakera dan pemacu sedia ada dan hanya menyulitkan yang merupakan sebahagian daripada senarai kod kerasnya - Cakera D:\, E:\, F:\, G:\, H:\, I:\, dan semua fail yang terkandung dalam C:\Users dan sub-foldernya. Untuk mengelakkan daripada menyebabkan sebarang ralat sistem kritikal pada peranti yang boleh menghalang mangsa daripada menyedari serangan ransomware, CatB tidak akan memberi kesan kepada beberapa sambungan fail tertentu - .msi, .exe, .dll, .sys, .iso, serta Fail NTUSER.DAT. Ambil perhatian bahawa CatB tidak menukar nama fail yang disulitkannya dalam apa jua cara.
Satu lagi penyelewengan daripada norma diperhatikan dalam cara CarB Ransomware menyampaikan nota tebusannya. Daripada mencipta fail teks dengan mesej menuntut tebusan dalam setiap folder yang mengandungi data terkunci, ancaman itu melampirkan mesejnya pada permulaan setiap fail yang disulitkan. Ini bermakna mangsa pada mulanya mungkin keliru tentang sebab fail mereka kelihatan rosak dan hanya akan dibentangkan dengan permintaan penyerang apabila cuba membuka salah satu fail yang terjejas. Nota tebusan menyatakan bahawa CatB Ransomware menggunakan algoritma penyulitan RAS-2048 dan saiz wang tebusan yang diminta akan berdasarkan masa yang diperlukan oleh mangsa untuk membayar. Jumlahnya antara 50 Bitcoin (~$800 000) hingga 130 Bitcoin (~$2 Juta). Selepas lima hari, penggodam mengancam bahawa semua data yang disulitkan akan hilang secara kekal. Nampaknya, mangsa boleh menghantar sehingga 3 fail ke alamat e-mel 'catB9991@protonmail.com' untuk dinyahsulit secara percuma.
Teks penuh nota CatB Ransomware ialah:
'??? Apa yang terjadi???
!!! Fail anda disulitkan !!!Semua fail anda dilindungi oleh penyulitan yang kuat dengan RSA-2048.
Tiada perisian penyahsulitan awam.Program dan kunci peribadi, Berapakah harganya? Harga bergantung pada seberapa cepat anda boleh membayar kepada kami.
1 hari : 50 Bitcoin
2 hari : 60 Bitcoin
3 hari : 90 Bitcoin
4 hari : 130 Bitcoin
5 hari : kehilangan data kekal !!!!Alamat Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Selepas diterima, kami akan menghantar program dan kunci peribadi ke jabatan IT anda sekarang juga.!!!Penyahsulitan percuma Sebagai jaminan, anda boleh menghantar kepada kami sehingga 3 fail yang dinyahsulit percuma sebelum pembayaran.
e-mel: catB9991@protonmail.com!!! Jangan cuba menyahsulit data anda menggunakan perisian pihak ketiga, ini boleh mengakibatkan kehilangan data kekal.!!!
!!! Program kami boleh membaiki komputer anda dalam beberapa minit.!!!'
