CatB Ransomware
Ransomware CatB është një kërcënim i keq që synon entitetet e korporatave dhe fillimisht u mendua të ishte një variant i Pandora Ransomware për shkak të ngjashmërive midis shënimeve të tyre të shpërblesës. Megjithatë, të dyja janë mjaft të dallueshme. CatB përmban teknika anti-VM për verifikimin e ekzekutimit në një 'makinë të vërtetë', e ndjekur nga heqja e një DLL dhe përdorimi i rrëmbimit të DLL për qëllime evazioni zbulimi. Malware përbëhet nga dy skedarë: 'version.dll', i cili është i mbushur me UPX dhe është përgjegjës për kryerjen e kontrolleve anti-VM, dhe 'oci.dll', ngarkesa e ransomware, e cila ekzekutohet pasi hidhet.
Tabela e Përmbajtjes
Kontrollimi për mjediset e sandbox
Analiza e CatB ka zbuluar tre metoda të ndryshme të përdorura nga kërcënimi për të siguruar që ai është duke u ekzekutuar në një kompjuter të vërtetë dhe jo në një VM/sandbox. Kërcënimi do të kryejë një kontroll thelbësor të procesorit, do të verifikojë memorien totale të disponueshme të sistemit dhe do të marrë parasysh madhësinë e Hard Diskut të lidhur.
Kompjuterët aktualë ose modernë zakonisht kanë specifikime minimale të harduerit. Nëse CatB zbulon rezultate që devijojnë shumë ose janë nën një vlerë të pritur, ai do t'i trajtojë rezultatet si një shenjë se nuk po ekzekutohet në një sistem real. Për shembull, shumica e kompjuterëve do të kenë të paktën dy bërthama procesori, kështu që prania e vetëm njërës do të gjykohet si e dyshimtë. E njëjta gjë vlen edhe për madhësinë e kujtesës fizike. CatB Ransomware përfiton nga funksioni GlobalMemoryStatusEx API për të marrë informacionin e nevojshëm dhe do të mbyllet vetë nëse rezultatet e kthyera tregojnë më pak se 2 GB memorie fizike. Së fundi, ransomware nuk do të aktivizohet nëse përcakton se mjedisi i tij aktual ka më pak se 50 GB hapësirë në hard disk.
Rrëmbimi i DLL dhe Qëndrueshmëria
Nëse të gjitha kontrollet anti-VM kalojnë, pikatori do të vazhdojë të hedhë ngarkesën e ransomware (oci.dll) në dosjen C:\Windows\System32 dhe të modifikojë konfigurimet e shërbimit MSDTC (shërbimi i Koordinatorit të Transaksioneve të Shpërndara Windows, i cili është përgjegjës për koordinimin e transaksioneve ndërmjet bazave të të dhënave dhe serverëve të internetit). Ndryshimet përfshijnë ndryshimin e emrit të llogarisë që drejton shërbimin nga Shërbimi i Rrjetit në Sistemin Lokal, dhënien e të drejtave të administratorit dhe ndryshimin e opsionit të fillimit nga Fillimi i kërkesës në Fillimi automatik për të ruajtur qëndrueshmërinë pas një rinisjeje të sistemit.
Pasi pikatori të ketë ndryshuar cilësimet e nevojshme, ai nis shërbimin. Ky shërbim do të përpiqet si parazgjedhje të ngarkojë shumë DLL nga dosja System32. Kjo lejon që kërcënimi të depozitojë një DLL të paligjshme (si p.sh. oci.dll) në të njëjtën direktori, duke e lejuar atë të ekzekutojë kodin e dëmtuar.
Rutina e kriptimit dhe kërkesat për shpërblesë
Kriptimi i të dhënave të viktimës fillon në momentin që skedari i ngarkesës CatB Ransomware 'oci.dll' ngarkohet si pjesë e procesit 'msdtc.exe'. Gjatë ekzekutimit të tij, CatB shfaq disa karakteristika që e veçojnë atë nga kërcënimet më të zakonshme të ransomware. Së pari, do të numërojë disqet dhe disqet ekzistuese dhe do të kodojë vetëm ato që janë pjesë e listës së saj të koduar - Disqet D:\, E:\, F:\, G:\, H:\, I:\, dhe të gjitha skedarët e përfshirë në C:\Users dhe nën-dosjet e tij. Për të shmangur shkaktimin e ndonjë gabimi kritik të sistemit në pajisje që mund të parandalojë që viktimat të vërejnë sulmin e ransomware, CatB nuk do të ndikojë në disa shtesa specifike të skedarëve - .msi, .exe, .dll, .sys, .iso, si dhe Skedari NTUSER.DAT. Vini re se CatB nuk i ndryshon emrat e skedarëve që kodon në asnjë mënyrë.
Një tjetër devijim nga norma vërehet në mënyrën se si CarB Ransomware jep shënimin e tij të shpërblimit. Në vend që të krijojë një skedar teksti me mesazhin që kërkon shpërblesë në çdo dosje që përmban të dhëna të kyçura, kërcënimi ia bashkëngjit mesazhin e tij fillimit të çdo skedari të koduar. Kjo do të thotë që viktimat fillimisht mund të ngatërrohen rreth asaj se pse skedarët e tyre duken të korruptuar dhe do të paraqiten vetëm me kërkesat e sulmuesve kur përpiqen të hapin një nga skedarët e ndikuar. Shënimi i shpërblimit thotë se CatB Ransomware përdor algoritmin e enkriptimit RAS-2048 dhe madhësia e shpërblimit të kërkuar do të bazohet në kohën që u duhet viktimave për të paguar. Shumat variojnë nga 50 Bitcoin (~ 800 000 dollarë) në 130 Bitcoin (~ 2 milion dollarë). Pas pesë ditësh, hakerët kërcënuan se të gjitha të dhënat e koduara do të humbisnin përgjithmonë. Me sa duket, viktimat mund të dërgojnë deri në 3 skedarë në adresën e emailit 'catB9991@protonmail.com' për t'u deshifruar falas.
Teksti i plotë i shënimit të CatB Ransomware është:
'??? Cfare ndodhi???
!!! Skedarët tuaj janë të koduar !!!Të gjithë skedarët tuaj mbrohen me kriptim të fortë me RSA-2048.
Nuk ka softuer publik deshifrues.Programi dhe çelësi privat, sa është çmimi? Çmimi varet nga sa shpejt mund të na paguani.
1 ditë: 50 Bitcoin
2 ditë: 60 Bitcoin
3 dita: 90 Bitcoin
4 ditë: 130 Bitcoin
5 ditë: humbje e përhershme e të dhënave !!!!Adresa Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Pas marrjes, ne do të dërgojmë programin dhe çelësin privat në departamentin tuaj të IT tani.!!!Deshifrim falas Si garanci, mund të na dërgoni deri në 3 skedarë të deshifruar falas përpara pagesës.
email: catB9991@protonmail.com!!! Mos u përpiqni të deshifroni të dhënat tuaja duke përdorur softuer të palëve të treta, kjo mund të rezultojë në humbje të përhershme të të dhënave.!!!
!!! Programi ynë mund të riparojë kompjuterin tuaj në pak minuta.!!!'
