CatB Ransomware
Ransomware-ul CatB este o amenințare urâtă care vizează entitățile corporative și a fost inițial considerat a fi o variantă a Ransomware-ului Pandora , datorită asemănărilor dintre notele lor de răscumpărare. Cu toate acestea, cele două sunt destul de distincte. CatB conține tehnici anti-VM pentru verificarea execuției pe o „mașină reală”, urmată de eliminarea unui DLL și utilizarea deturnării DLL în scopul evadării detectării. Malware-ul constă din două fișiere: „version.dll”, care este împachetat cu UPX și este responsabil pentru efectuarea verificărilor anti-VM și „oci.dll”, sarcina utilă de ransomware, care este executată după ce a fost abandonată.
Cuprins
Verificarea mediilor Sandbox
Analiza CatB a descoperit trei metode diferite utilizate de amenințare pentru a se asigura că este executată pe un computer real și nu într-un VM/sandbox. Amenințarea va efectua o verificare a nucleului procesorului, va verifica memoria totală disponibilă a sistemului și va lua în considerare dimensiunea hard disk-ului conectat.
Calculatoarele actuale sau moderne au de obicei specificații hardware minime. Dacă CatB detectează rezultate care se abate prea mult sau sunt sub o valoare așteptată, va trata rezultatele ca un semn că nu este rulat pe un sistem real. De exemplu, majoritatea computerelor vor avea cel puțin două nuclee de procesor, așa că prezența unui singur va fi considerată suspectă. Același lucru este valabil și pentru dimensiunea memoriei fizice. CatB Ransomware profită de funcția API GlobalMemoryStatusEx pentru a prelua informațiile necesare și se va închide singur dacă rezultatele returnate arată mai puțin de 2 GB de memorie fizică. În cele din urmă, ransomware-ul nu se va activa dacă stabilește că mediul său actual are mai puțin de 50 GB de spațiu pe hard disk.
Deturnarea și persistența DLL
Dacă toate verificările anti-VM trec, dropperul va continua să arunce încărcătura utilă de ransomware (oci.dll) în folderul C:\Windows\System32 și să modifice configurațiile serviciului MSDTC (serviciul Distributed Transaction Coordinator Windows, care este responsabil pentru coordonarea tranzacţiilor între baze de date şi servere Web). Modificările includ schimbarea numelui contului care rulează serviciul din Serviciu de rețea în Sistem local, acordarea acestuia drepturi de administrator și modificarea opțiunii de pornire de la Pornire la cerere la Pornire automată pentru a menține persistența după o repornire a sistemului.
Odată ce dropperul a modificat setările necesare, lansează serviciul. Acest serviciu va încerca implicit să încarce mai multe DLL-uri din folderul System32. Acest lucru permite amenințării să depună un DLL nelegitim (cum ar fi oci.dll) în același director, permițându-i să ruleze cod corupt.
Rutină de criptare și cereri de răscumpărare
Criptarea datelor victimei începe în momentul în care fișierul de încărcare utilă CatB Ransomware „oci.dll” este încărcat ca parte a procesului „msdtc.exe”. În timpul execuției sale, CatB prezintă mai multe caracteristici care îl deosebesc de amenințările ransomware mai comune. În primul rând, va enumera discurile și unitățile existente și le va cripta doar pe cele care fac parte din lista sa hardcoded - Discurile D:\, E:\, F:\, G:\, H:\, I:\ și toate fișierele conținute în C:\Users și subdirectoarele acestuia. Pentru a evita provocarea oricăror erori critice de sistem pe dispozitiv care ar putea împiedica victimele chiar să observe atacul ransomware, CatB nu va afecta mai multe extensii de fișiere specifice - .msi, .exe, .dll, .sys, .iso, precum și Fișierul NTUSER.DAT. Rețineți că CatB nu modifică în niciun fel numele fișierelor pe care le criptează.
O altă abatere de la normă este observată în modul în care CarB Ransomware își livrează nota de răscumpărare. În loc să creeze un fișier text cu mesajul care solicită răscumpărare în fiecare folder care conține date blocate, amenințarea își atașează mesajul la începutul fiecărui fișier criptat. Aceasta înseamnă că victimele ar putea fi inițial confuze cu privire la motivul pentru care fișierele lor par corupte și vor fi prezentate doar cu cerințele atacatorilor atunci când încearcă să deschidă unul dintre fișierele afectate. Nota de răscumpărare afirmă că CatB Ransomware utilizează algoritmul de criptare RAS-2048, iar mărimea răscumpărării solicitate se va baza pe timpul necesar victimelor pentru a plăti. Sumele variază de la 50 Bitcoin (~800 000 USD) la 130 Bitcoin (~2 milioane USD). După cinci zile, hackerii au amenințat că toate datele criptate se vor pierde definitiv. Aparent, victimele pot trimite până la 3 fișiere la adresa de e-mail „catB9991@protonmail.com” pentru a fi decriptate gratuit.
Textul complet al notei CatB Ransomware este:
'??? Ce s-a întâmplat???
!!! Fișierele dvs. sunt criptate!!!Toate fișierele dumneavoastră sunt protejate de criptare puternică cu RSA-2048.
Nu există software public de decriptare.Program și cheie privată, care este prețul? Prețul depinde de cât de repede ne poți plăti.
1 zi: 50 Bitcoin
2 zile: 60 Bitcoin
3 zi: 90 Bitcoin
4 zi: 130 Bitcoin
5 zile: pierdere permanentă de date !!!!Adresă Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! După primire, vom trimite programul și cheia privată departamentului dumneavoastră IT chiar acum.!!!Decriptare gratuită Ca garanție, ne puteți trimite până la 3 fișiere decriptate gratuite înainte de plată.
e-mail: catB9991@protonmail.com!!! Nu încercați să vă decriptați datele utilizând software terță parte, acest lucru poate duce la pierderea permanentă a datelor.!!!
!!! Programul nostru vă poate repara computerul în câteva minute.!!!'
