CatB Ransomware

Ransomware CatB jest paskudnym zagrożeniem skierowanym do podmiotów korporacyjnych i początkowo uważano, że jest wariantem Pandora Ransomware ze względu na podobieństwa między ich żądaniami okupu. Jednak oba są dość różne. CatB zawiera techniki anty-VM do weryfikacji wykonania na „prawdziwej maszynie”, po których następuje usunięcie biblioteki DLL i wykorzystanie przechwytywania DLL w celu uniknięcia wykrycia. Szkodliwe oprogramowanie składa się z dwóch plików: „version.dll”, który zawiera UPX i jest odpowiedzialny za przeprowadzanie kontroli anty-VM, oraz „oci.dll”, ładunek oprogramowania ransomware, który jest uruchamiany po upuszczeniu.

Sprawdzanie środowisk piaskownicy

Analiza CatB ujawniła trzy różne metody wykorzystywane przez to zagrożenie w celu upewnienia się, że jest ono uruchamiane na prawdziwym komputerze, a nie w maszynie wirtualnej/piaskownicy. Zagrożenie przeprowadzi kontrolę rdzenia procesora, zweryfikuje całkowitą dostępną pamięć systemu i rozważy rozmiar podłączonego dysku twardego.

Obecne lub nowoczesne komputery mają zazwyczaj minimalne specyfikacje sprzętowe. Jeśli CatB wykryje wyniki, które odbiegają zbytnio lub są poniżej oczekiwanej wartości, potraktuje wyniki jako znak, że nie jest uruchamiany w prawdziwym systemie. Na przykład większość komputerów będzie miała co najmniej dwa rdzenie procesora, więc obecność tylko jednego zostanie uznana za podejrzaną. To samo dotyczy rozmiaru pamięci fizycznej. CatB Ransomware wykorzystuje funkcję GlobalMemoryStatusEx API do pobierania niezbędnych informacji i zamyka się, jeśli zwrócone wyniki pokazują mniej niż 2 GB pamięci fizycznej. Wreszcie, ransomware nie aktywuje się, jeśli ustali, że jego obecne środowisko ma mniej niż 50 GB miejsca na dysku twardym.

Przechwytywanie i utrwalanie bibliotek DLL

Jeśli wszystkie testy ochrony przed maszynami wirtualnymi zakończą się pomyślnie, dropper umieści ładunek ransomware (oci.dll) w folderze C:\Windows\System32 i zmodyfikuje konfiguracje usługi MSDTC (usługa systemu Windows Distributed Transaction Coordinator, która jest odpowiedzialna za do koordynowania transakcji między bazami danych a serwerami WWW). Modyfikacje obejmują zmianę nazwy konta uruchamiającego usługę z Usługi sieciowej na System lokalny, nadanie mu uprawnień administratora oraz zmianę opcji uruchamiania z Start na żądanie na Start automatyczny, aby zachować trwałość po ponownym uruchomieniu systemu.

Gdy dropper zmieni niezbędne ustawienia, uruchamia usługę. Ta usługa domyślnie spróbuje załadować wiele bibliotek DLL z folderu System32. Pozwala to zagrożeniu na zdeponowanie nielegalnej biblioteki DLL (takiej jak oci.dll) w tym samym katalogu, co pozwala na uruchomienie uszkodzonego kodu.

Rutyna szyfrowania i żądania okupu

Szyfrowanie danych ofiary rozpoczyna się w momencie załadowania pliku ładunku CatB Ransomware „oci.dll” w ramach procesu „msdtc.exe”. Podczas wykonywania CatB wykazuje kilka cech, które odróżniają go od bardziej powszechnych zagrożeń ransomware. Najpierw wyliczy istniejące dyski i napędy i zaszyfruje tylko te, które są częścią jego zakodowanej na stałe listy - Dyski D:\, E:\, F:\, G:\, H:\, I:\ i wszystkie pliki zawarte w C:\Users i jego podfolderach. Aby uniknąć krytycznych błędów systemowych na urządzeniu, które mogłyby uniemożliwić ofiarom zauważenie ataku ransomware, CatB nie wpłynie na kilka określonych rozszerzeń plików – .msi, .exe, .dll, .sys, .iso, a także na Plik NTUSER.DAT. Pamiętaj, że CatB w żaden sposób nie zmienia nazw plików, które szyfruje.

Kolejne odstępstwo od normy obserwuje się w sposobie, w jaki CarB Ransomware dostarcza żądanie okupu. Zamiast tworzyć plik tekstowy z wiadomością żądającą okupu w każdym folderze zawierającym zablokowane dane, zagrożenie dołącza swoją wiadomość na początku każdego zaszyfrowanego pliku. Oznacza to, że ofiary mogą początkowo nie wiedzieć, dlaczego ich pliki wyglądają na uszkodzone, i otrzymają żądania atakujących tylko podczas próby otwarcia jednego z plików, których dotyczy problem. Żądanie okupu stwierdza, że CatB Ransomware używa algorytmu szyfrowania RAS-2048, a wysokość żądanego okupu będzie oparta na czasie potrzebnym ofiarom na zapłacenie. Sumy wahają się od 50 Bitcoinów (~ 800 000 $) do 130 Bitcoinów (~ 2 miliony $). Po pięciu dniach hakerzy zagrozili, że wszystkie zaszyfrowane dane zostaną trwale utracone. Najwyraźniej ofiary mogą wysłać do 3 plików na adres e-mail „catB9991@protonmail.com” w celu bezpłatnego odszyfrowania.

Pełny tekst notatki CatB Ransomware to:

'??? Co się stało???
!!! Twoje pliki są zaszyfrowane !!!

Wszystkie Twoje pliki są chronione silnym szyfrowaniem RSA-2048.
Nie ma publicznego oprogramowania do odszyfrowywania.

Program i klucz prywatny, Jaka jest cena? Cena zależy od tego, jak szybko możesz nam zapłacić.

1 dzień: 50 bitcoinów
2 dzień: 60 bitcoinów
3 dzień: 90 bitcoinów
4 dzień: 130 bitcoinów
5 dzień : trwała utrata danych !!!!

Adres Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Po otrzymaniu natychmiast wyślemy program i klucz prywatny do Twojego działu IT.!!!

Bezpłatne odszyfrowanie W ramach gwarancji możesz przesłać nam do 3 bezpłatnych odszyfrowanych plików przed dokonaniem płatności.
e-mail: catB9991@protonmail.com

!!! Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.!!!
!!! Nasz program może naprawić Twój komputer w kilka minut.!!!'