CatB Ransomware

CatB ransomware என்பது கார்ப்பரேட் நிறுவனங்களை குறிவைக்கும் ஒரு மோசமான அச்சுறுத்தலாகும் மற்றும் ஆரம்பத்தில் இது ஒரு மாறுபாடாக கருதப்பட்டது Pandora Ransomware அவற்றின் மீட்புக் குறிப்புகளுக்கு இடையே உள்ள ஒற்றுமைகள் காரணமாக. CatB ஆனது 'உண்மையான கணினியில்' செயல்படுத்தப்படுவதைச் சரிபார்ப்பதற்கான எதிர்ப்பு VM நுட்பங்களைக் கொண்டுள்ளது, அதைத் தொடர்ந்து DLL ஐ கைவிட்டு, DLL கடத்தலைக் கண்டறிதல் ஏய்ப்பு நோக்கங்களுக்காகப் பயன்படுத்துகிறது. தீம்பொருள் இரண்டு கோப்புகளைக் கொண்டுள்ளது: 'version.dll,' இது UPX உடன் நிரம்பியுள்ளது மற்றும் VM எதிர்ப்பு சோதனைகளை நடத்துவதற்குப் பொறுப்பாகும், மேலும் 'oci.dll,' ransomware பேலோட் கைவிடப்பட்ட பிறகு செயல்படுத்தப்படும்.

சாண்ட்பாக்ஸ் சூழல்களைச் சரிபார்க்கிறது

CatB இன் பகுப்பாய்வு, அச்சுறுத்தலால் பயன்படுத்தப்படும் மூன்று வெவ்வேறு முறைகளைக் கண்டறிந்தது, அது ஒரு உண்மையான கணினியில் செயல்படுத்தப்படுகிறது மற்றும் VM/சாண்ட்பாக்ஸில் அல்ல. அச்சுறுத்தல் செயலியின் மையச் சரிபார்ப்பைச் செய்யும், கணினியின் மொத்த கிடைக்கும் நினைவகத்தைச் சரிபார்த்து, இணைக்கப்பட்ட ஹார்ட் டிரைவின் அளவைக் கருத்தில் கொள்ளும்.

தற்போதைய அல்லது நவீன கணினிகள் பொதுவாக குறைந்தபட்ச வன்பொருள் விவரக்குறிப்புகளைக் கொண்டுள்ளன. CatB அதிகமாக விலகும் அல்லது எதிர்பார்த்த மதிப்புக்குக் கீழே உள்ள முடிவுகளைக் கண்டறிந்தால், அது உண்மையான கணினியில் இயங்கவில்லை என்பதற்கான அறிகுறியாக முடிவுகளைக் கருதும். எடுத்துக்காட்டாக, பெரும்பாலான கணினிகள் குறைந்தது இரண்டு செயலி கோர்களைக் கொண்டிருக்கும், எனவே ஒன்று மட்டுமே இருப்பது சந்தேகத்திற்குரியதாக மதிப்பிடப்படும். உடல் நினைவக அளவிற்கும் இது பொருந்தும். CatB Ransomware தேவையான தகவலைப் பெற GlobalMemoryStatusEx API செயல்பாட்டைப் பயன்படுத்திக் கொள்கிறது மற்றும் திரும்பிய முடிவுகள் 2GB க்கும் குறைவான உடல் நினைவகத்தைக் காட்டினால் தானாகவே மூடப்படும். இறுதியாக, ransomware அதன் தற்போதைய சூழலில் 50GB க்கும் குறைவான ஹார்ட் டிரைவ் இடத்தைக் கொண்டிருப்பதைக் கண்டறிந்தால் அது செயல்படாது.

DLL கடத்தல் மற்றும் நிலைத்தன்மை

அனைத்து எதிர்ப்பு VM சோதனைகளும் கடந்துவிட்டால், டிராப்பர் ransomware பேலோடை (oci.dll) C:\Windows\System32 கோப்புறையில் இறக்கி, MSDTC சேவையின் உள்ளமைவுகளை மாற்றியமைப்பார் (விநியோகிக்கப்பட்ட பரிவர்த்தனை ஒருங்கிணைப்பாளர் விண்டோஸ் சேவை, இது பொறுப்பாகும். தரவுத்தளங்கள் மற்றும் இணைய சேவையகங்களுக்கு இடையேயான பரிவர்த்தனைகளை ஒருங்கிணைப்பதற்காக). நெட்வொர்க் சேவையிலிருந்து லோக்கல் சிஸ்டத்திற்குச் சேவையை இயக்கும் கணக்கின் பெயரை மாற்றுதல், நிர்வாக உரிமைகளை வழங்குதல் மற்றும் கணினி மறுதொடக்கம் செய்த பிறகு தொடர்ந்து நிலைத்திருக்க, அதன் தொடக்க விருப்பத்தை டிமாண்ட் ஸ்டார்ட் முதல் ஆட்டோ ஸ்டார்ட் வரை மாற்றுதல் ஆகியவை இந்த மாற்றங்களில் அடங்கும்.

டிராப்பர் தேவையான அமைப்புகளை மாற்றியவுடன், அது சேவையைத் தொடங்குகிறது. இந்தச் சேவையானது, System32 கோப்புறையிலிருந்து பல DLLகளை ஏற்றுவதற்கு முன்னிருப்பாக முயற்சிக்கும். இது ஒரு முறைகேடான டிஎல்எல் (oci.dll போன்றவை) அதே கோப்பகத்தில் டெபாசிட் செய்ய அச்சுறுத்தலை அனுமதிக்கிறது, இது சிதைந்த குறியீட்டை இயக்க அனுமதிக்கிறது.

என்க்ரிப்ஷன் ரொட்டீன் மற்றும் ரேன்சம் டிமாண்ட்ஸ்

CatB Ransomware பேலோட் கோப்பு 'oci.dll' 'msdtc.exe' செயல்முறையின் ஒரு பகுதியாக ஏற்றப்படும் தருணத்தில் பாதிக்கப்பட்டவரின் தரவின் குறியாக்கம் தொடங்குகிறது. அதன் செயல்பாட்டின் போது, CatB பல பண்புகளை வெளிப்படுத்துகிறது, இது மிகவும் பொதுவான ransomware அச்சுறுத்தல்களிலிருந்து வேறுபடுகிறது. முதலில், இது ஏற்கனவே உள்ள டிஸ்க்குகள் மற்றும் டிரைவ்களை எண்ணி, அதன் ஹார்டுகோட் பட்டியலில் உள்ளவற்றை மட்டும் குறியாக்கம் செய்யும் - வட்டுகள் D:\, E:\, F:\, G:\, H:\, I:\, மற்றும் அனைத்து C:\Users மற்றும் அதன் துணை கோப்புறைகளில் உள்ள கோப்புகள். ransomware தாக்குதலைக் கூட பாதிக்கப்பட்டவர்கள் கவனிப்பதைத் தடுக்கும் வகையில் சாதனத்தில் ஏதேனும் முக்கியமான கணினிப் பிழைகள் ஏற்படுவதைத் தவிர்க்க, CatB பல குறிப்பிட்ட கோப்பு நீட்டிப்புகளை பாதிக்காது - .msi, .exe, .dll, .sys, .iso, அத்துடன் NTUSER.DAT கோப்பு. CatB எந்த வகையிலும் குறியாக்கம் செய்யும் கோப்புகளின் பெயர்களை மாற்றாது என்பதை நினைவில் கொள்ளவும்.

CarB Ransomware அதன் மீட்கும் குறிப்பை வழங்கும் விதத்தில் விதிமுறையிலிருந்து மற்றொரு விலகல் காணப்படுகிறது. பூட்டப்பட்ட தரவைக் கொண்ட ஒவ்வொரு கோப்புறையிலும் மீட்கும் செய்தியுடன் உரைக் கோப்பை உருவாக்குவதற்குப் பதிலாக, அச்சுறுத்தல் அதன் செய்தியை ஒவ்வொரு மறைகுறியாக்கப்பட்ட கோப்பின் தொடக்கத்திலும் இணைக்கிறது. இதன் பொருள், பாதிக்கப்பட்டவர்கள் தங்கள் கோப்புகள் ஏன் சிதைந்ததாகத் தோன்றுவது என்பதில் முதலில் குழப்பம் ஏற்படலாம் மற்றும் பாதிக்கப்பட்ட கோப்புகளில் ஒன்றைத் திறக்க முயற்சிக்கும்போது தாக்குபவர்களின் கோரிக்கைகள் மட்டுமே வழங்கப்படும். CatB Ransomware RAS-2048 என்க்ரிப்ஷன் அல்காரிதத்தைப் பயன்படுத்துகிறது மற்றும் கோரப்பட்ட மீட்கும் தொகையின் அளவு பாதிக்கப்பட்டவர்கள் செலுத்தும் நேரத்தைப் பொறுத்து இருக்கும் என்று மீட்புக் குறிப்பு கூறுகிறது. தொகைகள் 50 பிட்காயின் (~$800 000) முதல் 130 பிட்காயின் (~$2 மில்லியன்) வரை இருக்கும். ஐந்து நாட்களுக்குப் பிறகு, அனைத்து மறைகுறியாக்கப்பட்ட தரவுகளும் நிரந்தரமாக இழக்கப்படும் என்று ஹேக்கர்கள் அச்சுறுத்தினர். வெளிப்படையாக, பாதிக்கப்பட்டவர்கள் 3 கோப்புகளை 'catB9991@protonmail.com' மின்னஞ்சல் முகவரிக்கு இலவசமாக டிக்ரிப்ட் செய்ய அனுப்பலாம்.

CatB Ransomware இன் குறிப்பின் முழு உரை:

'??? என்ன நடந்தது???
!!! உங்கள் கோப்புகள் குறியாக்கம் செய்யப்பட்டுள்ளன !!!

உங்கள் எல்லா கோப்புகளும் RSA-2048 உடன் வலுவான குறியாக்கத்தால் பாதுகாக்கப்படுகின்றன.
பொது மறைகுறியாக்க மென்பொருள் இல்லை.

நிரல் மற்றும் தனிப்பட்ட விசை, விலை என்ன? எவ்வளவு விரைவாக நீங்கள் எங்களிடம் செலுத்த முடியும் என்பதைப் பொறுத்து விலை இருக்கும்.

1 நாள் : 50 பிட்காயின்
2 நாள் : 60 பிட்காயின்
3 நாள் : 90 பிட்காயின்
4 நாள் : 130 பிட்காயின்
5 நாள் : நிரந்தர தரவு இழப்பு !!!!

Btc முகவரி: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! பெற்ற பிறகு, நாங்கள் இப்போதே உங்கள் IT துறைக்கு நிரல் மற்றும் தனிப்பட்ட விசையை அனுப்புவோம்.!!!

இலவச மறைகுறியாக்கம் உத்தரவாதமாக, பணம் செலுத்துவதற்கு முன் 3 இலவச மறைகுறியாக்கப்பட்ட கோப்புகளை எங்களுக்கு அனுப்பலாம்.
மின்னஞ்சல்: catB9991@protonmail.com

!!! மூன்றாம் தரப்பு மென்பொருளைப் பயன்படுத்தி உங்கள் தரவை மறைகுறியாக்க முயற்சிக்காதீர்கள், இது நிரந்தர தரவு இழப்பை ஏற்படுத்தக்கூடும்.!!!
!!! எங்கள் நிரல் சில நிமிடங்களில் உங்கள் கணினியை சரி செய்துவிடும்.!!!'