CatB Ransomware
ЦатБ рансомваре је гадна претња која циља корпоративне ентитете и у почетку се сматрало да је варијанта Пандора Рансомваре-а због сличности између њихових белешки о откупнини. Међутим, то двоје су прилично различити. ЦатБ садржи анти-ВМ технике за верификацију извршења на 'правој машини', након чега следи испуштање ДЛЛ-а и коришћење ДЛЛ отмице у сврху избегавања откривања. Злонамерни софтвер се састоји од две датотеке: 'версион.длл', која је упакована са УПКС-ом и одговорна је за спровођење анти-ВМ провера, и 'оци.длл', терета рансомваре-а, који се извршава након што се одбаци.
Преглед садржаја
Провера окружења у сандбок-у
Анализа ЦатБ-а је открила три различите методе које користи претња како би се осигурало да се извршава на стварном рачунару, а не у ВМ-у/пешчанику. Претња ће извршити проверу језгра процесора, проверити укупну расположиву меморију система и узети у обзир величину повезаног чврстог диска.
Тренутни или савремени рачунари обично имају минималне хардверске спецификације. Ако ЦатБ открије резултате који превише одступају или су испод очекиване вредности, третираће резултате као знак да се не покреће на стварном систему. На пример, већина рачунара ће имати најмање два процесорска језгра, тако да ће присуство само једног бити оцењено као сумњиво. Исто важи и за величину физичке меморије. ЦатБ Рансомваре користи предности АПИ функције ГлобалМемориСтатусЕк за преузимање потребних информација и затвориће се ако враћени резултати покажу мање од 2 ГБ физичке меморије. Коначно, рансомваре се неће активирати ако утврди да његово тренутно окружење има мање од 50 ГБ простора на чврстом диску.
ДЛЛ отмица и упорност
Ако све анти-ВМ провере прођу, испуштач ће наставити са испуштањем рансомваре-а (оци.длл) у фасциклу Ц:\Виндовс\Систем32 и изменити конфигурације услуге МСДТЦ (Виндовс услуга координатора дистрибуираних трансакција, која је одговорна за координацију трансакција између база података и Веб сервера). Измене укључују промену имена налога који покреће услугу из мрежне услуге у локални систем, давање му администраторских права и промену његове опције покретања са покретања на захтев у аутоматско покретање да би се одржала постојаност након поновног покретања система.
Када капаљка промени неопходна подешавања, покреће услугу. Ова услуга ће подразумевано покушати да учита више ДЛЛ-ова из фасцикле Систем32. Ово омогућава претњи да депонује нелегитимни ДЛЛ (као што је оци.длл) у исти директоријум, омогућавајући јој да покрене оштећени код.
Рутина шифровања и захтеви за откупнином
Шифровање података жртве почиње оног тренутка када се ЦатБ Рансомваре датотека корисног учитавања 'оци.длл' учита као део процеса 'мсдтц.еке'. Током свог извршења, ЦатБ показује неколико карактеристика које га издвајају од уобичајених претњи рансомваре-а. Прво, он ће набројати постојеће дискове и диск јединице и шифровати само оне који су део његове тврдокодиране листе - Дискове Д:\, Е:\, Ф:\, Г:\, Х:\, И:\ и све датотеке садржане у Ц:\Усерс и његовим поддиректоријумима. Да би се избегло изазивање критичних системских грешака на уређају које би могле да спрече жртве да чак и примете напад рансомвера, ЦатБ неће утицати на неколико специфичних екстензија датотека - .мси, .еке, .длл, .сис, .исо, као и на НТУСЕР.ДАТ датотека. Имајте на уму да ЦатБ ни на који начин не мења имена датотека које шифрује.
Још једно одступање од норме примећено је у начину на који ЦарБ Рансомваре испоручује своју поруку о откупу. Уместо да креира текстуалну датотеку са поруком која захтева откупнину у свакој фасцикли која садржи закључане податке, претња прилаже своју поруку на почетак сваке шифроване датотеке. То значи да би жртве у почетку могле да буду збуњене око тога зашто се њихови фајлови чине оштећеним и да ће бити представљени захтеви нападача само када покушају да отворе једну од погођених датотека. У белешци о откупнини се наводи да ЦатБ Рансомваре користи алгоритам за шифровање РАС-2048 и да ће величина тражене откупнине бити заснована на времену које је жртвама потребно да плате. Износи се крећу од 50 биткоина (~800.000 долара) до 130 биткоина (~2 милиона долара). После пет дана, хакери су запретили да ће сви шифровани подаци бити трајно изгубљени. Очигледно, жртве могу да пошаљу до 3 датотеке на адресу е-поште 'цатБ9991@протонмаил.цом' да би биле дешифроване бесплатно.
Пун текст белешке ЦатБ Рансомваре-а је:
'??? Шта се догодило???
!!! Ваше датотеке су шифроване !!!Све ваше датотеке су заштићене снажном енкрипцијом помоћу РСА-2048.
Не постоји јавни софтвер за дешифровање.Програм и приватни кључ, која је цена? Цена зависи од тога колико брзо можете да нам платите.
1 дан: 50 Битцоин
2 дан: 60 Битцоин
3 дан: 90 Битцоин
4 дан: 130 Битцоин
5 дан : трајни губитак података !!!!Бтц адреса: бц1какуел0с4ниге9ркјилскдкнн9нвихц2з6к27гз
!!! Након што добијемо, одмах ћемо послати програм и приватни кључ вашем ИТ одељењу.!!!Бесплатно дешифровање Као гаранцију, можете нам послати до 3 бесплатне дешифроване датотеке пре плаћања.
емаил: цатБ9991@протонмаил.цом!!! Не покушавајте да дешифрујете своје податке помоћу софтвера треће стране, то може довести до трајног губитка података.!!!
!!! Наш програм може да поправи ваш рачунар за неколико минута.!!!'
