CatB Ransomware
CatB ransomware är ett otäckt hot som riktar sig mot företagsenheter och ansågs ursprungligen vara en variant av Pandora Ransomware på grund av likheter mellan deras lösensedlar. De två är dock ganska olika. CatB innehåller anti-VM-tekniker för att verifiera exekvering på en "riktig maskin", följt av att släppa en DLL och använda DLL-kapning i syfte att undvika upptäckt. Skadlig programvara består av två filer: 'version.dll', som är packad med UPX och ansvarar för att utföra anti-VM-kontrollerna, och 'oci.dll', nyttolasten för ransomware, som exekveras efter att ha släppts.
Innehållsförteckning
Söker efter sandlådemiljöer
Analys av CatB har avslöjat tre olika metoder som används av hotet för att säkerställa att det körs på en riktig dator och inte i en virtuell dator/sandlåda. Hotet kommer att utföra en processorkärnkontroll, verifiera systemets totala tillgängliga minne och överväga storleken på den anslutna hårddisken.
Nuvarande eller moderna datorer har vanligtvis minimala hårdvaruspecifikationer. Om CatB upptäcker resultat som avviker för mycket eller ligger under ett förväntat värde, kommer den att behandla resultaten som ett tecken på att det inte körs på ett riktigt system. Till exempel kommer de flesta datorer att ha minst två processorkärnor, så närvaron av endast en kommer att bedömas som misstänkt. Detsamma gäller fysisk minnesstorlek. CatB Ransomware drar fördel av GlobalMemoryStatusEx API-funktionen för att hämta nödvändig information och kommer att stänga sig själv om de returnerade resultaten visar mindre än 2 GB fysiskt minne. Slutligen kommer ransomwaren inte att aktiveras om den fastställer att dess nuvarande miljö har mindre än 50 GB hårddiskutrymme.
DLL-kapning och persistens
Om alla anti-VM-kontroller går igenom, kommer dropparen att fortsätta att släppa ransomware-nyttolasten (oci.dll) i mappen C:\Windows\System32 och ändra konfigurationerna av MSDTC-tjänsten (Distributed Transaction Coordinator Windows-tjänsten, som är ansvarig för koordinering av transaktioner mellan databaser och webbservrar). Ändringarna inkluderar att ändra namnet på kontot som kör tjänsten från nätverkstjänst till lokalt system, ge det administratörsrättigheter och ändra dess startalternativ från begära start till autostart för att bibehålla beständighet efter en omstart av systemet.
När dropparen har ändrat de nödvändiga inställningarna startar den tjänsten. Den här tjänsten försöker som standard att ladda flera DLL-filer från System32-mappen. Detta tillåter hotet att deponera en olaglig DLL (som oci.dll) i samma katalog, vilket gör att den kan köra skadad kod.
Krypteringsrutin och krav på lösen
Krypteringen av offrets data börjar i det ögonblick som CatB Ransomware-nyttolastfilen 'oci.dll' laddas som en del av 'msdtc.exe'-processen. Under sin körning uppvisar CatB flera egenskaper som skiljer den från de vanligare ransomware-hoten. Först räknar den upp de befintliga skivorna och enheterna och krypterar endast de som ingår i dess hårdkodade lista - Diskarna D:\, E:\, F:\, G:\, H:\, I:\ och alla filer som finns i C:\Users och dess undermappar. För att undvika att orsaka kritiska systemfel på enheten som kan hindra offren från att ens lägga märke till ransomware-attacken, kommer CatB inte att påverka flera specifika filtillägg - .msi, .exe, .dll, .sys, .iso, såväl som NTUSER.DAT-fil. Observera att CatB inte ändrar namnen på filerna som den krypterar på något sätt.
En annan avvikelse från normen observeras i hur CarB Ransomware levererar sin lösennota. Istället för att skapa en textfil med det lösenkrävande meddelandet i varje mapp som innehåller låsta data, bifogar hotet sitt meddelande i början av varje krypterad fil. Detta innebär att offren initialt kan vara förvirrade över varför deras filer verkar skadade och endast kommer att presenteras för angriparnas krav när de försöker öppna en av de påverkade filerna. I lösensumman står det att CatB Ransomware använder krypteringsalgoritmen RAS-2048 och storleken på den begärda lösen kommer att baseras på den tid det tar för offren att betala. Summorna sträcker sig från 50 Bitcoin (~$800 000) till 130 Bitcoin (~$2 miljoner). Efter fem dagar hotade hackarna att all krypterad data skulle gå förlorad permanent. Tydligen kan offer skicka upp till 3 filer till e-postadressen 'catB9991@protonmail.com' för att dekrypteras gratis.
Den fullständiga texten i CatB Ransomwares anteckning är:
'??? Vad hände???
!!! Dina filer är krypterade !!!Alla dina filer är skyddade av stark kryptering med RSA-2048.
Det finns ingen offentlig dekrypteringsmjukvara.Program och privat nyckel, vad är priset? Priset beror på hur snabbt du kan betala till oss.
1 dag: 50 Bitcoin
2 dagar: 60 Bitcoin
3 dagar: 90 Bitcoin
4 dagar: 130 Bitcoin
5 dagar: permanent dataförlust !!!!Btc-adress: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Efter mottaget skickar vi program och privat nyckel till din IT-avdelning just nu.!!!Gratis dekryptering Som en garanti kan du skicka oss upp till 3 gratis dekrypterade filer innan betalning.
e-post: catB9991@protonmail.com!!! Försök inte att dekryptera dina data med programvara från tredje part, detta kan resultera i permanent dataförlust.!!!
!!! Vårt program kan reparera din dator på några minuter.!!!'
