CatB Ransomware
Izsiljevalska programska oprema CatB je zoprna grožnja, ki cilja na poslovne subjekte in je bila sprva mišljena kot različica izsiljevalske programske opreme Pandora zaradi podobnosti med njihovimi obvestili o odkupnini. Vendar sta oba precej različna. CatB vsebuje tehnike proti VM za preverjanje izvajanja na 'pravem stroju', čemur sledi opustitev DLL in uporaba ugrabitve DLL za namene izogibanja odkrivanju. Zlonamerna programska oprema je sestavljena iz dveh datotek: »version.dll«, ki je zapakirana z UPX in je odgovorna za izvajanje preverjanj proti VM, in »oci.dll«, tovora izsiljevalske programske opreme, ki se izvede, potem ko je bila odvrnjena.
Kazalo
Preverjanje okolij peskovnika
Analiza CatB je odkrila tri različne metode, ki jih grožnja uporablja za zagotovitev, da se izvaja v pravem računalniku in ne v VM/peskovniku. Grožnja bo izvedla preverjanje jedra procesorja, preverila skupni razpoložljivi pomnilnik sistema in upoštevala velikost priključenega trdega diska.
Trenutni ali sodobni računalniki imajo običajno minimalne specifikacije strojne opreme. Če CatB zazna rezultate, ki preveč odstopajo ali so pod pričakovano vrednostjo, bo rezultate obravnaval kot znak, da se ne izvaja v resničnem sistemu. Na primer, večina računalnikov bo imela vsaj dve procesorski jedri, zato bo prisotnost le enega ocenjena kot sumljiva. Enako velja za velikost fizičnega pomnilnika. CatB Ransomware izkorišča funkcijo GlobalMemoryStatusEx API za pridobivanje potrebnih informacij in se zapre, če vrnjeni rezultati pokažejo manj kot 2 GB fizičnega pomnilnika. Nazadnje se izsiljevalska programska oprema ne bo aktivirala, če ugotovi, da ima trenutno okolje manj kot 50 GB prostora na trdem disku.
Ugrabitev DLL in vztrajnost
Če so vsa preverjanja proti VM uspešna, bo dropper nadaljeval s padcem koristnega tovora izsiljevalske programske opreme (oci.dll) v mapo C:\Windows\System32 in spremenil konfiguracije storitve MSDTC (storitev Distributed Transaction Coordinator Windows, ki je odgovorna za usklajevanje transakcij med bazami podatkov in spletnimi strežniki). Spremembe vključujejo spremembo imena računa, ki izvaja storitev, iz omrežne storitve v lokalni sistem, dodelitev skrbniških pravic in spremembo možnosti zagona iz zahtevnega zagona v samodejni zagon, da se ohrani obstojnost po vnovičnem zagonu sistema.
Ko kapalka spremeni potrebne nastavitve, zažene storitev. Ta storitev bo privzeto poskušala naložiti več datotek DLL iz mape System32. To grožnji omogoča, da v isti imenik odloži nelegitimen DLL (kot je oci.dll), kar ji omogoči izvajanje poškodovane kode.
Rutina šifriranja in zahteve po odkupnini
Šifriranje žrtvinih podatkov se začne v trenutku, ko se kot del procesa »msdtc.exe« naloži datoteka »oci.dll« z izsiljevalsko programsko opremo CatB. Med izvajanjem ima CatB več značilnosti, ki ga ločujejo od pogostejših groženj izsiljevalske programske opreme. Najprej bo naštel obstoječe diske in pogone ter šifriral samo tiste, ki so del njegovega trdo kodiranega seznama – diski D:\, E:\, F:\, G:\, H:\, I:\ in vsi datoteke v mapi C:\Users in njenih podmapah. Da bi se izognili povzročitvi kritičnih sistemskih napak v napravi, ki bi lahko preprečile, da bi žrtve sploh opazile napad izsiljevalske programske opreme, CatB ne bo vplival na več posebnih datotečnih končnic – .msi, .exe, .dll, .sys, .iso, kot tudi na Datoteka NTUSER.DAT. Upoštevajte, da CatB na noben način ne spreminja imen datotek, ki jih šifrira.
Drugo odstopanje od norme je opaženo v načinu, kako CarB Ransomware dostavi obvestilo o odkupnini. Namesto ustvarjanja besedilne datoteke s sporočilom o zahtevi po odkupnini v vsaki mapi, ki vsebuje zaklenjene podatke, grožnja pripne svoje sporočilo na začetek vsake šifrirane datoteke. To pomeni, da so lahko žrtve sprva zmedene glede tega, zakaj so njihove datoteke videti poškodovane, in jim bodo zahteve napadalcev predstavljene šele, ko bodo poskušale odpreti eno od prizadetih datotek. Opomba o odkupnini navaja, da CatB Ransomware uporablja šifrirni algoritem RAS-2048 in da bo velikost zahtevane odkupnine temeljila na času, ki ga žrtve potrebujejo za plačilo. Zneski segajo od 50 bitcoinov (~800 000 $) do 130 bitcoinov (~2 milijona $). Po petih dneh so hekerji zagrozili, da bodo vsi šifrirani podatki trajno izgubljeni. Očitno lahko žrtve pošljejo do 3 datoteke na e-poštni naslov 'catB9991@protonmail.com', da se brezplačno dešifrirajo.
Celotno besedilo opombe CatB Ransomware je:
'??? Kaj se je zgodilo???
!!! Vaše datoteke so šifrirane !!!Vse vaše datoteke so zaščitene z močnim šifriranjem z RSA-2048.
Ni javne programske opreme za dešifriranje.Program in zasebni ključ, Kakšna je cena? Cena je odvisna od tega, kako hitro nam lahko plačate.
1 dan: 50 Bitcoin
2 dan: 60 Bitcoin
3 dan: 90 Bitcoin
4 dan: 130 Bitcoin
5 dan: trajna izguba podatkov!!!!Btc naslov: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Po prejemu bomo takoj poslali program in zasebni ključ vašemu IT oddelku.!!!Brezplačno dešifriranje Kot garancijo nam lahko pred plačilom pošljete do 3 brezplačne dešifrirane datoteke.
e-pošta: catB9991@protonmail.com!!! Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, to lahko povzroči trajno izgubo podatkov.!!!
!!! Naš program lahko popravi vaš računalnik v nekaj minutah.!!!'
