CatB Ransomware

Программа-вымогатель CatB — это неприятная угроза, нацеленная на юридические лица, и изначально считалась вариантом программы-вымогателя Pandora из-за сходства между их записями о выкупе. Тем не менее, они совершенно разные. CatB содержит методы борьбы с виртуальными машинами для проверки выполнения на «реальной машине» с последующим удалением DLL и использованием захвата DLL для целей уклонения от обнаружения. Вредоносное ПО состоит из двух файлов: «version.dll», который упакован с UPX и отвечает за проведение проверок против виртуальных машин, и «oci.dll», полезная нагрузка программы-вымогателя, которая запускается после удаления.

Проверка сред песочницы

Анализ CatB выявил три различных метода, используемых угрозой для обеспечения того, чтобы она выполнялась на реальном компьютере, а не в виртуальной машине/песочнице. Угроза выполнит проверку ядра процессора, проверит общую доступную память системы и рассмотрит размер подключенного жесткого диска.

Текущие или современные компьютеры обычно имеют минимальные аппаратные характеристики. Если CatB обнаружит результаты, которые слишком сильно отклоняются или ниже ожидаемого значения, он будет рассматривать результаты как признак того, что он не выполняется в реальной системе. Например, большинство компьютеров будут иметь как минимум два процессорных ядра, поэтому наличие только одного будет расцениваться как подозрительное. То же самое относится и к размеру физической памяти. Программа-вымогатель CatB использует функцию API GlobalMemoryStatusEx для получения необходимой информации и закроется, если возвращенные результаты показывают менее 2 ГБ физической памяти. Наконец, программа-вымогатель не активируется, если определит, что в ее текущей среде меньше 50 ГБ свободного места на жестком диске.

Перехват DLL и постоянство

Если все проверки против ВМ пройдены успешно, программа-дроппер переместит полезную нагрузку программы-вымогателя (oci.dll) в папку C:\Windows\System32 и изменит конфигурации службы MSDTC (службы координатора распределенных транзакций Windows, которая отвечает за для координации транзакций между базами данных и веб-серверами). Изменения включают изменение имени учетной записи, в которой запущена служба, с сетевой службы на локальную систему, предоставление ей прав администратора и изменение ее параметра запуска с запуска по запросу на автоматический запуск, чтобы сохранить постоянство после перезапуска системы.

После того, как дроппер изменил необходимые настройки, он запускает сервис. Эта служба по умолчанию попытается загрузить несколько библиотек DLL из папки System32. Это позволяет угрозе поместить незаконную DLL (например, oci.dll) в тот же каталог, что позволяет ей запускать поврежденный код.

Процедура шифрования и требования выкупа

Шифрование данных жертвы начинается в тот момент, когда файл полезной нагрузки программы-вымогателя CatB «oci.dll» загружается как часть процесса «msdtc.exe». Во время выполнения CatB демонстрирует несколько характеристик, которые отличают его от более распространенных программ-вымогателей. Во-первых, он будет перечислять существующие диски и приводы и шифровать только те из них, которые являются частью жестко заданного списка — диски D:\, E:\, F:\, G:\, H:\, I:\ и все файлы, содержащиеся в C:\Users и его подпапках. Чтобы избежать каких-либо критических системных ошибок на устройстве, которые могут помешать жертвам даже заметить атаку программы-вымогателя, CatB не повлияет на некоторые определенные расширения файлов — .msi, .exe, .dll, .sys, .iso, а также файл NTUSER.DAT. Обратите внимание, что CatB никоим образом не меняет имена файлов, которые он шифрует.

Еще одно отклонение от нормы наблюдается в том, как CarB Ransomware доставляет записку с требованием выкупа. Вместо создания текстового файла с требованием выкупа в каждой папке, содержащей заблокированные данные, угроза прикрепляет свое сообщение к началу каждого зашифрованного файла. Это означает, что жертвы изначально могут быть сбиты с толку тем, почему их файлы выглядят поврежденными, и им будут представлены требования злоумышленников только при попытке открыть один из затронутых файлов. В примечании о выкупе говорится, что CatB Ransomware использует алгоритм шифрования RAS-2048, а размер требуемого выкупа будет зависеть от времени, которое потребуется жертвам для оплаты. Суммы варьируются от 50 биткойнов (~ 800 000 долларов США) до 130 биткойнов (~ 2 миллиона долларов США). Через пять дней хакеры пригрозили, что все зашифрованные данные будут безвозвратно утеряны. Судя по всему, жертвы могут отправить до 3 файлов на адрес электронной почты catB9991@protonmail.com для бесплатной расшифровки.

Полный текст заметки CatB Ransomware:

'??? Что случилось???
!!! Ваши файлы зашифрованы!!!

Все ваши файлы защищены надежным шифрованием RSA-2048.
Общедоступного программного обеспечения для расшифровки нет.

Программа и приватный ключ, Какая цена? Цена зависит от того, как быстро вы сможете заплатить нам.

1 день: 50 биткойнов
2 день: 60 биткойнов
3 день: 90 биткойнов
4 день: 130 биткойнов
5 день: безвозвратная потеря данных!!!!

Адрес BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! После получения мы отправим программу и закрытый ключ в ваш ИТ-отдел прямо сейчас.!!!

Бесплатная расшифровка В качестве гарантии вы можете отправить нам до 3-х бесплатных расшифрованных файлов перед оплатой.
электронная почта: catB9991@protonmail.com

!!! Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.!!!
!!! Наша программа может восстановить ваш компьютер за несколько минут.!!!'