CatB Ransomware

CatB ransomware एक खराब खतरा हो जसले कर्पोरेट संस्थाहरूलाई लक्षित गर्दछ र सुरुमा तिनीहरूको फिरौती नोटहरू बीचको समानताको कारण Pandora Ransomware को रूप मानिएको थियो। तर, दुवै एकदम फरक छन्। CatB ले 'वास्तविक मेसिन' मा कार्यान्वयन प्रमाणित गर्नको लागि एन्टी-VM प्रविधिहरू समावेश गर्दछ, त्यसपछि DLL छोडेर र पत्ता लगाउन चोरी उद्देश्यका लागि DLL अपहरण प्रयोग गरी। मालवेयरमा दुईवटा फाइलहरू हुन्छन्: 'version.dll', जुन UPX सँग प्याक गरिएको छ र एन्टी-VM जाँचहरू सञ्चालन गर्न जिम्मेवार छ, र 'oci.dll,' ransomware पेलोड, जुन ड्रप भएपछि कार्यान्वयन हुन्छ।

Sandbox वातावरणको लागि जाँच गर्दै

CatB को विश्लेषणले यो VM/sandbox मा नभई वास्तविक कम्प्युटरमा कार्यान्वयन भइरहेको छ भनी सुनिश्चित गर्न खतराद्वारा प्रयोग गरिएका तीन फरक तरिकाहरू पत्ता लगाएको छ। खतराले प्रोसेसर कोर जाँच गर्नेछ, प्रणालीको कुल उपलब्ध मेमोरी प्रमाणित गर्नेछ, र जडान गरिएको हार्ड ड्राइभको आकारलाई विचार गर्नेछ।

हालको वा आधुनिक कम्प्युटरहरूमा सामान्यतया न्यूनतम हार्डवेयर विशिष्टताहरू हुन्छन्। यदि CatB ले परिणामहरू पत्ता लगायो जुन धेरै विचलित हुन्छ वा अपेक्षित मूल्य भन्दा कम छ भने, यसले परिणामहरूलाई वास्तविक प्रणालीमा नचलेको संकेतको रूपमा व्यवहार गर्नेछ। उदाहरणका लागि, धेरै कम्प्युटरहरूमा कम्तिमा दुई प्रोसेसर कोरहरू हुनेछन्, त्यसैले केवल एकको उपस्थितिलाई शंकास्पद रूपमा न्याय गरिनेछ। त्यहि भौतिक मेमोरी साइजमा लागू हुन्छ। CatB Ransomware ले आवश्यक जानकारी पुन: प्राप्त गर्न GlobalMemoryStatusEx API प्रकार्यको फाइदा लिन्छ र यदि फिर्ता परिणामहरूले भौतिक मेमोरीको 2GB भन्दा कम देखाउँदछ भने आफैं बन्द हुनेछ। अन्तमा, ransomware सक्रिय हुनेछैन यदि यसले निर्धारण गर्छ कि यसको हालको वातावरणमा 50GB भन्दा कम हार्ड ड्राइभ ठाउँ छ।

DLL अपहरण र दृढता

यदि सबै एन्टी-VM जाँचहरू पास भएमा, ड्रपरले ransomware पेलोड (oci.dll) लाई C:\Windows\System32 फोल्डरमा ड्रप गर्न र MSDTC सेवाको कन्फिगरेसनहरू परिमार्जन गर्न अगाडि बढ्नेछ (वितरित कारोबार समन्वयक Windows सेवा, जुन जिम्मेवार छ। डाटाबेस र वेब सर्भरहरू बीचको लेनदेन समन्वयको लागि)। परिमार्जनहरूमा नेटवर्क सेवाबाट स्थानीय प्रणालीमा सेवा चलिरहेको खाताको नाम परिवर्तन गर्ने, प्रशासक अधिकारहरू प्रदान गर्ने, र प्रणाली पुन: सुरु गरेपछि निरन्तरता कायम राख्न डिमान्ड स्टार्टबाट अटो स्टार्टमा यसको स्टार्ट विकल्प परिवर्तन गर्ने समावेश छ।

एक पटक ड्रपरले आवश्यक सेटिङहरू परिवर्तन गरेपछि, यसले सेवा सुरु गर्छ। यो सेवाले पूर्वनिर्धारित रूपमा System32 फोल्डरबाट धेरै DLL हरू लोड गर्ने प्रयास गर्नेछ। यसले धम्कीलाई एकै डाइरेक्टरीमा अवैध DLL (जस्तै oci.dll) जम्मा गर्न अनुमति दिन्छ, यसले भ्रष्ट कोड चलाउन अनुमति दिन्छ।

एन्क्रिप्शन दिनचर्या र फिरौती मागहरू

पीडितको डाटाको इन्क्रिप्शन त्यस क्षणबाट सुरु हुन्छ जब CatB Ransomware पेलोड फाइल 'oci.dll' 'msdtc.exe' प्रक्रियाको भागको रूपमा लोड हुन्छ। यसको कार्यान्वयनको क्रममा, CatB ले धेरै विशेषताहरू प्रदर्शन गर्दछ जसले यसलाई अधिक सामान्य ransomware खतराहरूबाट अलग राख्छ। पहिले, यसले अवस्थित डिस्क र ड्राइभहरू गणना गर्नेछ र केवल यसको हार्डकोड गरिएको सूचीको अंशलाई मात्र इन्क्रिप्ट गर्नेछ - डिस्क D:\, E:\, F:\, G:\, H:\, I:\, र सबै C: प्रयोगकर्ताहरू र यसको उप-फोल्डरहरूमा समावेश गरिएका फाइलहरू। यन्त्रमा कुनै पनि महत्वपूर्ण प्रणाली त्रुटिहरू हुनबाट जोगिनका लागि जसले पीडितहरूलाई ransomware आक्रमण देख्नबाट पनि रोक्न सक्छ, CatB ले धेरै विशिष्ट फाइल एक्सटेन्सनहरूलाई असर गर्दैन - .msi, .exe, .dll, .sys, .iso, साथै NTUSER.DAT फाइल। नोट गर्नुहोस् कि CatB ले कुनै पनि तरिकाले इन्क्रिप्ट गर्ने फाइलहरूको नाम परिवर्तन गर्दैन।

CarB Ransomware ले आफ्नो फिरौती नोट पठाउने तरिकामा सामान्यबाट अर्को विचलन देखियो। लक गरिएको डाटा भएको प्रत्येक फोल्डरमा फिरौती-माग सन्देशको साथ पाठ फाइल सिर्जना गर्नुको सट्टा, धम्कीले प्रत्येक इन्क्रिप्टेड फाइलको सुरुमा यसको सन्देश संलग्न गर्दछ। यसको मतलब यो हो कि पीडितहरू सुरुमा तिनीहरूका फाइलहरू किन भ्रष्ट देखिन्छन् भन्ने बारे भ्रमित हुन सक्छन् र प्रभावित फाइलहरू मध्ये एउटा खोल्ने प्रयास गर्दा मात्र आक्रमणकारीहरूको मागहरू प्रस्तुत गरिनेछन्। फिरौती नोटमा भनिएको छ कि CatB Ransomware ले RAS-2048 ईन्क्रिप्शन एल्गोरिदम प्रयोग गर्दछ र माग गरिएको फिरौतीको आकार पीडितहरूले भुक्तान गर्न लाग्ने समयमा आधारित हुनेछ। रकम ५० बिटकोइन (~$८०० ०००) देखि १३० बिटकोइन (~२ मिलियन) सम्म हुन्छ। पाँच दिन पछि, ह्याकरहरूले सबै इन्क्रिप्टेड डाटा स्थायी रूपमा हराउने धम्की दिए। स्पष्ट रूपमा, पीडितहरूले 'catB9991@protonmail.com' इमेल ठेगानामा 3 फाइलहरू नि:शुल्क रूपमा डिक्रिप्ट गर्न पठाउन सक्छन्।

CatB Ransomware को नोटको पूर्ण पाठ हो:

'??? के भयो???
!!! तपाईंको फाइलहरू इन्क्रिप्टेड छन् !!!

तपाईंका सबै फाइलहरू RSA-2048 सँग बलियो इन्क्रिप्सनद्वारा सुरक्षित छन्।
त्यहाँ कुनै सार्वजनिक डिक्रिप्शन सफ्टवेयर छैन।

कार्यक्रम र निजी कुञ्जी, मूल्य के हो? मूल्य तपाईं हामीलाई कति छिटो तिर्न सक्नुहुन्छ मा निर्भर गर्दछ।

1 दिन: 50 Bitcoin
२ दिन : ६० बिटकोइन
३ दिन : ९० बिटकोइन
4 दिन: 130 Bitcoin
५ दिन : स्थायी डाटा हानि !!!!

Btc ठेगाना: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! प्राप्त गरेपछि, हामी अहिले नै तपाइँको आईटी विभागमा कार्यक्रम र निजी कुञ्जी पठाउनेछौं।!!!

नि: शुल्क डिक्रिप्शन ग्यारेन्टीको रूपमा, तपाईंले भुक्तानी गर्नु अघि हामीलाई 3 नि: शुल्क डिक्रिप्टेड फाइलहरू पठाउन सक्नुहुन्छ।
इमेल: catB9991@protonmail.com

!!! तेस्रो-पक्ष सफ्टवेयर प्रयोग गरेर आफ्नो डाटा डिक्रिप्ट गर्ने प्रयास नगर्नुहोस्, यसले स्थायी डाटा हराउन सक्छ।!!!
!!! हाम्रो कार्यक्रमले तपाईको कम्प्युटरलाई केहि मिनेटमा मर्मत गर्न सक्छ।!!!'