CatB Ransomware
CatB ransomware er en ekkel trussel som retter seg mot bedriftsenheter og ble opprinnelig antatt å være en variant av Pandora Ransomware på grunn av likheter mellom løsepengene deres. Imidlertid er de to ganske forskjellige. CatB inneholder anti-VM-teknikker for å verifisere utførelse på en "ekte maskin", etterfulgt av å slippe en DLL og bruke DLL-kapring for deteksjonsunndragelsesformål. Skadevaren består av to filer: 'version.dll', som er fullpakket med UPX og er ansvarlig for å utføre anti-VM-sjekkene, og 'oci.dll', løsepengelasten, som kjøres etter å ha blitt droppet.
Innholdsfortegnelse
Se etter sandkassemiljøer
Analyse av CatB har avdekket tre forskjellige metoder som brukes av trusselen for å sikre at den kjøres på en ekte datamaskin og ikke i en VM/sandbox. Trusselen vil utføre en prosessorkjernesjekk, verifisere systemets totale tilgjengelige minne og vurdere størrelsen på den tilkoblede harddisken.
Nåværende eller moderne datamaskiner har vanligvis minimale maskinvarespesifikasjoner. Hvis CatB oppdager resultater som avviker for mye eller er under en forventet verdi, vil den behandle resultatene som et tegn på at den ikke kjøres på et ekte system. For eksempel vil de fleste datamaskiner ha minst to prosessorkjerner, så tilstedeværelsen av bare én vil bli vurdert som mistenkelig. Det samme gjelder fysisk minnestørrelse. CatB Ransomware drar fordel av GlobalMemoryStatusEx API-funksjonen for å hente den nødvendige informasjonen og vil lukke seg selv hvis de returnerte resultatene viser mindre enn 2 GB fysisk minne. Til slutt vil løsepengevaren ikke aktiveres hvis den fastslår at dets nåværende miljø har mindre enn 50 GB harddiskplass.
DLL-kapring og persistens
Hvis alle anti-VM-kontroller passerer, vil dropperen fortsette å slippe løsepengevare-nyttelasten (oci.dll) i mappen C:\Windows\System32 og endre konfigurasjonene til MSDTC-tjenesten (Distributed Transaction Coordinator Windows-tjenesten, som er ansvarlig for koordinering av transaksjoner mellom databaser og webservere). Endringene inkluderer å endre navnet på kontoen som kjører tjenesten fra nettverkstjeneste til lokalt system, gi den administratorrettigheter og endre startalternativet fra Krav om start til automatisk start for å opprettholde utholdenhet etter en omstart av systemet.
Når dropperen har endret de nødvendige innstillingene, starter den tjenesten. Denne tjenesten vil som standard prøve å laste inn flere DLL-er fra System32-mappen. Dette lar trusselen deponere en illegitim DLL (som oci.dll) i samme katalog, slik at den kan kjøre ødelagt kode.
Krypteringsrutine og løsepengekrav
Krypteringen av offerets data begynner i det øyeblikket CatB Ransomware-nyttelastfilen 'oci.dll' lastes inn som en del av 'msdtc.exe'-prosessen. Under utførelsen viser CatB flere egenskaper som skiller den fra de mer vanlige løsepengevare-truslene. Først vil den telle opp de eksisterende diskene og stasjonene og bare kryptere de som er en del av dens hardkodede liste - Diskene D:\, E:\, F:\, G:\, H:\, I:\, og alle filer i C:\Users og dets undermapper. For å unngå å forårsake kritiske systemfeil på enheten som kan hindre ofrene i å legge merke til løsepengevareangrepet, vil ikke CatB påvirke flere spesifikke filutvidelser - .msi, .exe, .dll, .sys, .iso, så vel som NTUSER.DAT-fil. Merk at CatB ikke endrer navnene på filene den krypterer på noen måte.
Et annet avvik fra normen er observert i måten CarB Ransomware leverer løsepengene sine. I stedet for å lage en tekstfil med den løsepengekrevende meldingen i hver mappe som inneholder låste data, legger trusselen meldingen ved begynnelsen av hver kryptert fil. Dette betyr at ofre i utgangspunktet kan bli forvirret over hvorfor filene deres ser ut til å være ødelagte, og vil bare bli presentert for angripernes krav når de prøver å åpne en av de berørte filene. Løsepengene sier at CatB Ransomware bruker RAS-2048-krypteringsalgoritmen og størrelsen på den krevede løsepengen vil være basert på tiden det tar ofrene å betale. Summene varierer fra 50 Bitcoin (~$800 000) til 130 Bitcoin (~$2 millioner). Etter fem dager truet hackerne med at all kryptert data ville gå tapt permanent. Tilsynelatende kan ofre sende opptil 3 filer til e-postadressen 'catB9991@protonmail.com' for å dekrypteres gratis.
Den fullstendige teksten til CatB Ransomwares notat er:
'??? Hva skjedde???
!!! Filene dine er kryptert!!!Alle filene dine er beskyttet av sterk kryptering med RSA-2048.
Det er ingen offentlig dekrypteringsprogramvare.Program og privat nøkkel, hva er prisen? Prisen avhenger av hvor raskt du kan betale til oss.
1 dag : 50 Bitcoin
2 dager: 60 Bitcoin
3 dager: 90 Bitcoin
4 dager: 130 Bitcoin
5 dager: permanent tap av data !!!!Btc-adresse: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Etter mottatt sender vi program og privat nøkkel til din IT-avdeling akkurat nå.!!!Gratis dekryptering Som garanti kan du sende oss opptil 3 gratis dekrypterte filer før betaling.
e-post: catB9991@protonmail.com!!! Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, dette kan føre til permanent tap av data.!!!
!!! Vårt program kan reparere datamaskinen din på få minutter.!!!'
