CatB Ransomware

CatB Ransomware ਇੱਕ ਭੈੜਾ ਖ਼ਤਰਾ ਹੈ ਜੋ ਕਾਰਪੋਰੇਟ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਸ਼ੁਰੂ ਵਿੱਚ ਉਹਨਾਂ ਦੇ ਰਿਹਾਈ ਦੇ ਨੋਟਾਂ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਦੇ ਕਾਰਨ Pandora ਰੈਨਸਮਵੇਅਰ ਦਾ ਇੱਕ ਰੂਪ ਮੰਨਿਆ ਜਾਂਦਾ ਸੀ। ਹਾਲਾਂਕਿ, ਦੋਵੇਂ ਕਾਫ਼ੀ ਵੱਖਰੇ ਹਨ। CatB ਵਿੱਚ ਇੱਕ 'ਅਸਲੀ ਮਸ਼ੀਨ' 'ਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਐਂਟੀ-VM ਤਕਨੀਕਾਂ ਸ਼ਾਮਲ ਹਨ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਇੱਕ DLL ਛੱਡਣਾ ਅਤੇ ਖੋਜ ਚੋਰੀ ਦੇ ਉਦੇਸ਼ਾਂ ਲਈ DLL ਹਾਈਜੈਕਿੰਗ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਮਾਲਵੇਅਰ ਵਿੱਚ ਦੋ ਫਾਈਲਾਂ ਹੁੰਦੀਆਂ ਹਨ: 'version.dll', ਜੋ UPX ਨਾਲ ਪੈਕ ਹੁੰਦੀ ਹੈ ਅਤੇ ਐਂਟੀ-VM ਜਾਂਚਾਂ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੁੰਦੀ ਹੈ, ਅਤੇ 'oci.dll,' ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ, ਜੋ ਛੱਡੇ ਜਾਣ ਤੋਂ ਬਾਅਦ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

ਸੈਂਡਬਾਕਸ ਵਾਤਾਵਰਨ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

CatB ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਧਮਕੀ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਹੈ ਕਿ ਇਹ ਇੱਕ ਅਸਲੀ ਕੰਪਿਊਟਰ 'ਤੇ ਚਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ ਨਾ ਕਿ VM/ਸੈਂਡਬਾਕਸ ਵਿੱਚ। ਧਮਕੀ ਇੱਕ ਪ੍ਰੋਸੈਸਰ ਕੋਰ ਜਾਂਚ ਕਰੇਗੀ, ਸਿਸਟਮ ਦੀ ਕੁੱਲ ਉਪਲਬਧ ਮੈਮੋਰੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰੇਗੀ, ਅਤੇ ਕਨੈਕਟ ਕੀਤੀ ਹਾਰਡ ਡਰਾਈਵ ਦੇ ਆਕਾਰ 'ਤੇ ਵਿਚਾਰ ਕਰੇਗੀ।

ਵਰਤਮਾਨ ਜਾਂ ਆਧੁਨਿਕ ਕੰਪਿਊਟਰਾਂ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਘੱਟੋ-ਘੱਟ ਹਾਰਡਵੇਅਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹੁੰਦੀਆਂ ਹਨ। ਜੇਕਰ CatB ਉਹਨਾਂ ਨਤੀਜਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਂਦਾ ਹੈ ਜੋ ਬਹੁਤ ਜ਼ਿਆਦਾ ਭਟਕਦੇ ਹਨ ਜਾਂ ਇੱਕ ਅਨੁਮਾਨਿਤ ਮੁੱਲ ਤੋਂ ਘੱਟ ਹਨ, ਤਾਂ ਇਹ ਨਤੀਜਿਆਂ ਨੂੰ ਅਸਲ ਸਿਸਟਮ 'ਤੇ ਨਾ ਚੱਲਣ ਦੇ ਸੰਕੇਤ ਵਜੋਂ ਮੰਨੇਗਾ। ਉਦਾਹਰਨ ਲਈ, ਜ਼ਿਆਦਾਤਰ ਕੰਪਿਊਟਰਾਂ ਵਿੱਚ ਘੱਟੋ-ਘੱਟ ਦੋ ਪ੍ਰੋਸੈਸਰ ਕੋਰ ਹੋਣਗੇ, ਇਸਲਈ ਸਿਰਫ਼ ਇੱਕ ਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਸ਼ੱਕੀ ਮੰਨਿਆ ਜਾਵੇਗਾ। ਇਹੀ ਭੌਤਿਕ ਮੈਮੋਰੀ ਆਕਾਰ 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ. CatB Ransomware ਜ਼ਰੂਰੀ ਜਾਣਕਾਰੀ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ GlobalMemoryStatusEx API ਫੰਕਸ਼ਨ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦਾ ਹੈ ਅਤੇ ਜੇਕਰ ਵਾਪਸ ਕੀਤੇ ਨਤੀਜੇ 2GB ਤੋਂ ਘੱਟ ਭੌਤਿਕ ਮੈਮੋਰੀ ਦਿਖਾਉਂਦੇ ਹਨ ਤਾਂ ਆਪਣੇ ਆਪ ਨੂੰ ਬੰਦ ਕਰ ਦੇਵੇਗਾ। ਅੰਤ ਵਿੱਚ, ਰੈਨਸਮਵੇਅਰ ਕਿਰਿਆਸ਼ੀਲ ਨਹੀਂ ਹੋਵੇਗਾ ਜੇਕਰ ਇਹ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਇਸਦੇ ਮੌਜੂਦਾ ਵਾਤਾਵਰਣ ਵਿੱਚ 50GB ਤੋਂ ਘੱਟ ਹਾਰਡ ਡਰਾਈਵ ਸਪੇਸ ਹੈ।

DLL ਹਾਈਜੈਕਿੰਗ ਅਤੇ ਸਥਿਰਤਾ

ਜੇਕਰ ਸਾਰੀਆਂ ਐਂਟੀ-VM ਜਾਂਚਾਂ ਪਾਸ ਹੋ ਜਾਂਦੀਆਂ ਹਨ, ਤਾਂ ਡਰਾਪਰ ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ (oci.dll) ਨੂੰ C:\Windows\System32 ਫੋਲਡਰ ਵਿੱਚ ਸੁੱਟਣ ਲਈ ਅੱਗੇ ਵਧੇਗਾ ਅਤੇ MSDTC ਸੇਵਾ (ਡਿਸਟ੍ਰੀਬਿਊਟਡ ਟ੍ਰਾਂਜੈਕਸ਼ਨ ਕੋਆਰਡੀਨੇਟਰ ਵਿੰਡੋਜ਼ ਸਰਵਿਸ, ਜੋ ਕਿ ਜ਼ਿੰਮੇਵਾਰ ਹੈ) ਦੀਆਂ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਸੋਧੇਗਾ। ਡੇਟਾਬੇਸ ਅਤੇ ਵੈੱਬ ਸਰਵਰਾਂ ਵਿਚਕਾਰ ਲੈਣ-ਦੇਣ ਦੇ ਤਾਲਮੇਲ ਲਈ)। ਸੋਧਾਂ ਵਿੱਚ ਨੈੱਟਵਰਕ ਸੇਵਾ ਤੋਂ ਲੋਕਲ ਸਿਸਟਮ ਵਿੱਚ ਸੇਵਾ ਚਲਾ ਰਹੇ ਖਾਤੇ ਦਾ ਨਾਮ ਬਦਲਣਾ, ਇਸ ਨੂੰ ਐਡਮਿਨ ਅਧਿਕਾਰ ਦੇਣਾ, ਅਤੇ ਸਿਸਟਮ ਰੀਸਟਾਰਟ ਹੋਣ ਤੋਂ ਬਾਅਦ ਨਿਰੰਤਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ ਡਿਮਾਂਡ ਸਟਾਰਟ ਤੋਂ ਆਟੋ ਸਟਾਰਟ ਤੱਕ ਇਸਦੇ ਸ਼ੁਰੂਆਤੀ ਵਿਕਲਪ ਨੂੰ ਬਦਲਣਾ ਸ਼ਾਮਲ ਹੈ।

ਇੱਕ ਵਾਰ ਡਰਾਪਰ ਨੇ ਲੋੜੀਂਦੀਆਂ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲ ਦਿੱਤਾ ਹੈ, ਇਹ ਸੇਵਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਹ ਸੇਵਾ ਸਿਸਟਮ32 ਫੋਲਡਰ ਤੋਂ ਕਈ DLL ਲੋਡ ਕਰਨ ਦੀ ਡਿਫੌਲਟ ਕੋਸ਼ਿਸ਼ ਕਰੇਗੀ। ਇਹ ਧਮਕੀ ਨੂੰ ਉਸੇ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਗੈਰ-ਕਾਨੂੰਨੀ DLL (ਜਿਵੇਂ ਕਿ oci.dll) ਨੂੰ ਜਮ੍ਹਾ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਨੂੰ ਨਿਕਾਰਾ ਕੋਡ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਏਨਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ ਅਤੇ ਰਿਹਾਈ ਦੀ ਮੰਗ

ਪੀੜਤ ਦੇ ਡੇਟਾ ਦੀ ਐਨਕ੍ਰਿਪਸ਼ਨ ਉਸੇ ਪਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ CatB Ransomware ਪੇਲੋਡ ਫਾਈਲ 'oci.dll' ਨੂੰ 'msdtc.exe' ਪ੍ਰਕਿਰਿਆ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੌਰਾਨ, CatB ਕਈ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜੋ ਇਸਨੂੰ ਹੋਰ ਆਮ ਰੈਨਸਮਵੇਅਰ ਖਤਰਿਆਂ ਤੋਂ ਵੱਖ ਕਰਦੇ ਹਨ। ਪਹਿਲਾਂ, ਇਹ ਮੌਜੂਦਾ ਡਿਸਕਾਂ ਅਤੇ ਡਰਾਈਵਾਂ ਦੀ ਗਿਣਤੀ ਕਰੇਗਾ ਅਤੇ ਸਿਰਫ ਉਹਨਾਂ ਨੂੰ ਹੀ ਐਨਕ੍ਰਿਪਟ ਕਰੇਗਾ ਜੋ ਇਸਦੀ ਹਾਰਡਕੋਡ ਸੂਚੀ ਦਾ ਹਿੱਸਾ ਹਨ - ਡਿਸਕਸ D:\, E:\, F:\, G:\, H:\, I:\, ਅਤੇ ਸਾਰੀਆਂ C:\Users ਅਤੇ ਇਸਦੇ ਉਪ-ਫੋਲਡਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਫਾਈਲਾਂ। ਡਿਵਾਈਸ 'ਤੇ ਕੋਈ ਵੀ ਗੰਭੀਰ ਸਿਸਟਮ ਤਰੁੱਟੀਆਂ ਪੈਦਾ ਕਰਨ ਤੋਂ ਬਚਣ ਲਈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਰੈਨਸਮਵੇਅਰ ਹਮਲੇ ਵੱਲ ਧਿਆਨ ਦੇਣ ਤੋਂ ਵੀ ਰੋਕ ਸਕਦੀ ਹੈ, ਕੈਟਬੀ ਕਈ ਖਾਸ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ - .msi, .exe, .dll, .sys, .iso, ਦੇ ਨਾਲ-ਨਾਲ NTUSER.DAT ਫਾਈਲ। ਨੋਟ ਕਰੋ ਕਿ CatB ਉਹਨਾਂ ਫਾਈਲਾਂ ਦੇ ਨਾਮ ਨਹੀਂ ਬਦਲਦਾ ਹੈ ਜਿਹਨਾਂ ਨੂੰ ਇਹ ਕਿਸੇ ਵੀ ਤਰੀਕੇ ਨਾਲ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ।

ਆਦਰਸ਼ ਤੋਂ ਇੱਕ ਹੋਰ ਭਟਕਣਾ CarB ਰੈਨਸਮਵੇਅਰ ਦੁਆਰਾ ਇਸਦੀ ਰਿਹਾਈ ਦੇ ਨੋਟ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਦੇ ਤਰੀਕੇ ਵਿੱਚ ਦੇਖਿਆ ਜਾਂਦਾ ਹੈ। ਤਾਲਾਬੰਦ ਡੇਟਾ ਵਾਲੇ ਹਰੇਕ ਫੋਲਡਰ ਵਿੱਚ ਰਿਹਾਈ-ਮੰਗ ਵਾਲੇ ਸੰਦੇਸ਼ ਨਾਲ ਇੱਕ ਟੈਕਸਟ ਫਾਈਲ ਬਣਾਉਣ ਦੀ ਬਜਾਏ, ਧਮਕੀ ਹਰ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲ ਦੀ ਸ਼ੁਰੂਆਤ ਵਿੱਚ ਇਸਦੇ ਸੰਦੇਸ਼ ਨੂੰ ਜੋੜਦੀ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਇਹ ਹੈ ਕਿ ਪੀੜਤ ਸ਼ੁਰੂ ਵਿੱਚ ਇਸ ਬਾਰੇ ਉਲਝਣ ਵਿੱਚ ਹੋ ਸਕਦੇ ਹਨ ਕਿ ਉਹਨਾਂ ਦੀਆਂ ਫਾਈਲਾਂ ਨਿਕਾਰਾ ਕਿਉਂ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੀਆਂ ਮੰਗਾਂ ਦੇ ਨਾਲ ਹੀ ਪੇਸ਼ ਕੀਤਾ ਜਾਵੇਗਾ ਜਦੋਂ ਪ੍ਰਭਾਵਿਤ ਫਾਈਲਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨੂੰ ਖੋਲ੍ਹਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ। ਫਿਰੌਤੀ ਨੋਟ ਵਿੱਚ ਕਿਹਾ ਗਿਆ ਹੈ ਕਿ CatB Ransomware RAS-2048 ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ ਮੰਗੀ ਗਈ ਫਿਰੌਤੀ ਦਾ ਆਕਾਰ ਪੀੜਤਾਂ ਨੂੰ ਭੁਗਤਾਨ ਕਰਨ ਵਿੱਚ ਲੱਗਣ ਵਾਲੇ ਸਮੇਂ 'ਤੇ ਅਧਾਰਤ ਹੋਵੇਗਾ। ਰਕਮਾਂ 50 ਬਿਟਕੋਇਨ (~ $800 000) ਤੋਂ ਲੈ ਕੇ 130 ਬਿਟਕੋਇਨ (~$2 ਮਿਲੀਅਨ) ਤੱਕ ਹਨ। ਪੰਜ ਦਿਨਾਂ ਬਾਅਦ, ਹੈਕਰਾਂ ਨੇ ਧਮਕੀ ਦਿੱਤੀ ਕਿ ਸਾਰਾ ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਸਥਾਈ ਤੌਰ 'ਤੇ ਖਤਮ ਹੋ ਜਾਵੇਗਾ। ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ, ਪੀੜਤ ਮੁਫ਼ਤ ਵਿੱਚ ਡੀਕ੍ਰਿਪਟ ਕੀਤੇ ਜਾਣ ਲਈ 'catB9991@protonmail.com' ਈਮੇਲ ਪਤੇ 'ਤੇ 3 ਤੱਕ ਫਾਈਲਾਂ ਭੇਜ ਸਕਦੇ ਹਨ।

CatB Ransomware ਦੇ ਨੋਟ ਦਾ ਪੂਰਾ ਪਾਠ ਹੈ:

'??? ਕੀ ਹੋਇਆ???
!!! ਤੁਹਾਡੀਆਂ ਫਾਈਲਾਂ ਐਨਕ੍ਰਿਪਟਡ ਹਨ !!!

ਤੁਹਾਡੀਆਂ ਸਾਰੀਆਂ ਫਾਈਲਾਂ RSA-2048 ਨਾਲ ਮਜ਼ਬੂਤ ਏਨਕ੍ਰਿਪਸ਼ਨ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਹਨ।
ਕੋਈ ਜਨਤਕ ਡਿਕ੍ਰਿਪਸ਼ਨ ਸਾਫਟਵੇਅਰ ਨਹੀਂ ਹੈ।

ਪ੍ਰੋਗਰਾਮ ਅਤੇ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ, ਕੀਮਤ ਕੀ ਹੈ? ਕੀਮਤ ਇਸ ਗੱਲ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ ਕਿ ਤੁਸੀਂ ਸਾਨੂੰ ਕਿੰਨੀ ਤੇਜ਼ੀ ਨਾਲ ਭੁਗਤਾਨ ਕਰ ਸਕਦੇ ਹੋ।

1 ਦਿਨ: 50 ਬਿਟਕੋਇਨ
2 ਦਿਨ: 60 ਬਿਟਕੋਇਨ
3 ਦਿਨ: 90 ਬਿਟਕੋਇਨ
4 ਦਿਨ: 130 ਬਿਟਕੋਇਨ
5 ਦਿਨ : ਸਥਾਈ ਡਾਟਾ ਨੁਕਸਾਨ !!!!

ਬੀਟੀਸੀ ਪਤਾ: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਅਸੀਂ ਹੁਣੇ ਤੁਹਾਡੇ ਆਈਟੀ ਵਿਭਾਗ ਨੂੰ ਪ੍ਰੋਗਰਾਮ ਅਤੇ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਭੇਜਾਂਗੇ।!!!

ਮੁਫਤ ਡੀਕ੍ਰਿਪਸ਼ਨ ਇੱਕ ਗਰੰਟੀ ਵਜੋਂ, ਤੁਸੀਂ ਭੁਗਤਾਨ ਤੋਂ ਪਹਿਲਾਂ ਸਾਨੂੰ 3 ਤੱਕ ਮੁਫਤ ਡੀਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਭੇਜ ਸਕਦੇ ਹੋ।
ਈਮੇਲ: catB9991@protonmail.com

!!! ਥਰਡ-ਪਾਰਟੀ ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੇ ਡੇਟਾ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਨਾ ਕਰੋ, ਇਸ ਨਾਲ ਸਥਾਈ ਡੇਟਾ ਦਾ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ।!!!
!!! ਸਾਡਾ ਪ੍ਰੋਗਰਾਮ ਕੁਝ ਹੀ ਮਿੰਟਾਂ ਵਿੱਚ ਤੁਹਾਡੇ ਕੰਪਿਊਟਰ ਦੀ ਮੁਰੰਮਤ ਕਰ ਸਕਦਾ ਹੈ।!!!'