CatB Ransomware

CatB ransomware అనేది కార్పొరేట్ సంస్థలను లక్ష్యంగా చేసుకునే అసహ్యకరమైన ముప్పు మరియు వారి విమోచన నోట్ల మధ్య సారూప్యత కారణంగా మొదట్లో Pandora Ransomware యొక్క రూపాంతరంగా భావించబడింది. అయితే, రెండూ చాలా భిన్నమైనవి. CatB 'రియల్ మెషీన్'లో అమలును ధృవీకరించడానికి యాంటీ-VM టెక్నిక్‌లను కలిగి ఉంది, దాని తర్వాత DLLని వదలడం మరియు డిటెక్షన్ ఎగవేత ప్రయోజనాల కోసం DLL హైజాకింగ్‌ను ఉపయోగించడం. మాల్వేర్ రెండు ఫైల్‌లను కలిగి ఉంటుంది: 'version.dll,' ఇది UPXతో ప్యాక్ చేయబడింది మరియు యాంటీ-VM తనిఖీలను నిర్వహించడానికి బాధ్యత వహిస్తుంది మరియు 'oci.dll,' ransomware పేలోడ్, పడిపోయిన తర్వాత అమలు చేయబడుతుంది.

శాండ్‌బాక్స్ పర్యావరణాల కోసం తనిఖీ చేస్తోంది

CatB యొక్క విశ్లేషణ VM/శాండ్‌బాక్స్‌లో కాకుండా నిజమైన కంప్యూటర్‌లో అమలు చేయబడుతుందని నిర్ధారించడానికి ముప్పు ద్వారా ఉపయోగించే మూడు విభిన్న పద్ధతులను కనుగొంది. ముప్పు ప్రాసెసర్ కోర్ తనిఖీని నిర్వహిస్తుంది, సిస్టమ్ యొక్క మొత్తం అందుబాటులో ఉన్న మెమరీని ధృవీకరిస్తుంది మరియు కనెక్ట్ చేయబడిన హార్డ్ డ్రైవ్ పరిమాణాన్ని పరిశీలిస్తుంది.

ప్రస్తుత లేదా ఆధునిక కంప్యూటర్లు సాధారణంగా కనీస హార్డ్‌వేర్ స్పెసిఫికేషన్‌లను కలిగి ఉంటాయి. CatB చాలా విచలనం లేదా ఊహించిన విలువ కంటే తక్కువగా ఉన్న ఫలితాలను గుర్తించినట్లయితే, అది నిజమైన సిస్టమ్‌లో అమలు చేయబడనందుకు సంకేతంగా ఫలితాలను పరిగణిస్తుంది. ఉదాహరణకు, చాలా కంప్యూటర్లు కనీసం రెండు ప్రాసెసర్ కోర్లను కలిగి ఉంటాయి, కాబట్టి ఒకటి మాత్రమే ఉండటం అనుమానాస్పదంగా పరిగణించబడుతుంది. భౌతిక మెమరీ పరిమాణానికి కూడా ఇది వర్తిస్తుంది. CatB Ransomware అవసరమైన సమాచారాన్ని తిరిగి పొందడానికి GlobalMemoryStatusEx API ఫంక్షన్‌ని సద్వినియోగం చేసుకుంటుంది మరియు తిరిగి వచ్చిన ఫలితాలు 2GB కంటే తక్కువ భౌతిక మెమరీని చూపిస్తే అది మూసివేయబడుతుంది. చివరగా, ransomware దాని ప్రస్తుత వాతావరణంలో 50GB కంటే తక్కువ హార్డ్ డ్రైవ్ స్థలం ఉందని నిర్ధారిస్తే అది సక్రియం కాదు.

DLL హైజాకింగ్ మరియు పెర్సిస్టెన్స్

అన్ని యాంటీ-విఎమ్ తనిఖీలు పాస్ అయితే, డ్రాపర్ ransomware పేలోడ్ (oci.dll)ని C:\Windows\System32 ఫోల్డర్‌లోకి వదలడానికి కొనసాగుతుంది మరియు MSDTC సర్వీస్ (డిస్టిబ్యూటెడ్ ట్రాన్సాక్షన్ కోఆర్డినేటర్ విండోస్ సర్వీస్, దీనికి బాధ్యత వహిస్తుంది. డేటాబేస్‌లు మరియు వెబ్ సర్వర్‌ల మధ్య లావాదేవీలను సమన్వయం చేయడం కోసం). నెట్‌వర్క్ సర్వీస్ నుండి లోకల్ సిస్టమ్‌కు సేవను నడుపుతున్న ఖాతా పేరును మార్చడం, దానికి నిర్వాహక హక్కులను మంజూరు చేయడం మరియు సిస్టమ్ పునఃప్రారంభించిన తర్వాత నిలకడను కొనసాగించడానికి డిమాండ్ ప్రారంభం నుండి ఆటో ప్రారంభం వరకు దాని ప్రారంభ ఎంపికను మార్చడం వంటి సవరణలు ఉన్నాయి.

డ్రాపర్ అవసరమైన సెట్టింగ్‌లను మార్చిన తర్వాత, అది సేవను ప్రారంభిస్తుంది. సిస్టమ్32 ఫోల్డర్ నుండి బహుళ DLLలను లోడ్ చేయడానికి ఈ సేవ డిఫాల్ట్‌గా ప్రయత్నిస్తుంది. ఇది చట్టవిరుద్ధమైన DLL (oci.dll వంటివి)ని అదే డైరెక్టరీలో డిపాజిట్ చేయడానికి ముప్పును అనుమతిస్తుంది, ఇది పాడైన కోడ్‌ని అమలు చేయడానికి అనుమతిస్తుంది.

ఎన్క్రిప్షన్ రొటీన్ మరియు విమోచన డిమాండ్లు

'msdtc.exe' ప్రక్రియలో భాగంగా CatB Ransomware పేలోడ్ ఫైల్ 'oci.dll' లోడ్ అయిన క్షణం నుండి బాధితుడి డేటా ఎన్‌క్రిప్షన్ ప్రారంభమవుతుంది. దాని అమలు సమయంలో, CatB చాలా సాధారణమైన ransomware బెదిరింపుల నుండి వేరుగా ఉండే అనేక లక్షణాలను ప్రదర్శిస్తుంది. ముందుగా, ఇది ఇప్పటికే ఉన్న డిస్క్‌లు మరియు డ్రైవ్‌లను గణిస్తుంది మరియు దాని హార్డ్‌కోడ్ జాబితాలో భాగమైన వాటిని మాత్రమే గుప్తీకరిస్తుంది - డిస్క్‌లు D:\, E:\, F:\, G:\, H:\, I:\, మరియు అన్ని C:\Users మరియు దాని ఉప-ఫోల్డర్‌లలో ఉన్న ఫైల్‌లు. ransomware దాడిని బాధితులు గమనించకుండా నిరోధించే పరికరంలో ఏవైనా క్లిష్టమైన సిస్టమ్ ఎర్రర్‌లను కలిగించకుండా ఉండటానికి, CatB అనేక నిర్దిష్ట ఫైల్ పొడిగింపులను ప్రభావితం చేయదు - .msi, .exe, .dll, .sys, .iso, అలాగే NTUSER.DAT ఫైల్. CatB ఏ విధంగానూ ఎన్‌క్రిప్ట్ చేసే ఫైల్‌ల పేర్లను మార్చదని గుర్తుంచుకోండి.

CarB Ransomware దాని విమోచన నోట్‌ను బట్వాడా చేసే విధానంలో ప్రమాణం నుండి మరొక విచలనం గమనించవచ్చు. లాక్ చేయబడిన డేటాను కలిగి ఉన్న ప్రతి ఫోల్డర్‌లో విమోచన-డిమాండ్ సందేశంతో టెక్స్ట్ ఫైల్‌ను సృష్టించడానికి బదులుగా, ముప్పు దాని సందేశాన్ని ప్రతి గుప్తీకరించిన ఫైల్ ప్రారంభానికి జోడించబడుతుంది. దీనర్థం, బాధితులు తమ ఫైల్‌లు ఎందుకు పాడైపోయాయనే దాని గురించి మొదట్లో అయోమయం చెందుతారు మరియు ప్రభావితమైన ఫైల్‌లలో ఒకదాన్ని తెరవడానికి ప్రయత్నిస్తున్నప్పుడు దాడి చేసేవారి డిమాండ్‌లతో మాత్రమే ప్రదర్శించబడతారు. CatB Ransomware RAS-2048 ఎన్‌క్రిప్షన్ అల్గారిథమ్‌ను ఉపయోగిస్తుందని మరియు బాధితులు చెల్లించడానికి తీసుకునే సమయం ఆధారంగా డిమాండ్ చేసిన విమోచన పరిమాణం ఆధారపడి ఉంటుందని రాన్సమ్ నోట్ పేర్కొంది. మొత్తాలు 50 బిట్‌కాయిన్ (~$800 000) నుండి 130 బిట్‌కాయిన్ (~$2 మిలియన్) వరకు ఉంటాయి. ఐదు రోజుల తర్వాత, గుప్తీకరించిన డేటా మొత్తం శాశ్వతంగా పోతుందని హ్యాకర్లు బెదిరించారు. స్పష్టంగా, బాధితులు ఉచితంగా డీక్రిప్ట్ చేయడానికి 'catB9991@protonmail.com' ఇమెయిల్ చిరునామాకు 3 ఫైల్‌లను పంపవచ్చు.

CatB Ransomware నోట్ పూర్తి పాఠం:

'??? ఏమి అయ్యింది???
!!! మీ ఫైల్‌లు ఎన్‌క్రిప్ట్ చేయబడ్డాయి !!!

మీ అన్ని ఫైల్‌లు RSA-2048తో బలమైన ఎన్‌క్రిప్షన్ ద్వారా రక్షించబడ్డాయి.
పబ్లిక్ డిక్రిప్షన్ సాఫ్ట్‌వేర్ లేదు.

ప్రోగ్రామ్ మరియు ప్రైవేట్ కీ, ధర ఎంత? మీరు మాకు ఎంత వేగంగా చెల్లించగలరు అనే దానిపై ధర ఆధారపడి ఉంటుంది.

1 రోజు: 50 బిట్‌కాయిన్
2 రోజు: 60 బిట్‌కాయిన్
3 రోజు: 90 బిట్‌కాయిన్
4 రోజు: 130 బిట్‌కాయిన్
5 రోజు: శాశ్వత డేటా నష్టం !!!!

Btc చిరునామా: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! అందుకున్న తర్వాత, మేము ప్రస్తుతం మీ IT విభాగానికి ప్రోగ్రామ్ మరియు ప్రైవేట్ కీని పంపుతాము.!!!

ఉచిత డీక్రిప్షన్ హామీగా, మీరు చెల్లింపుకు ముందు మాకు 3 ఉచిత డీక్రిప్టెడ్ ఫైల్‌లను పంపవచ్చు.
ఇమెయిల్: catB9991@protonmail.com

!!! థర్డ్-పార్టీ సాఫ్ట్‌వేర్‌ని ఉపయోగించి మీ డేటాను డీక్రిప్ట్ చేయడానికి ప్రయత్నించవద్దు, ఇది శాశ్వత డేటా నష్టానికి దారితీయవచ్చు.!!!
!!! మా ప్రోగ్రామ్ మీ కంప్యూటర్‌ను కొన్ని నిమిషాల్లో రిపేర్ చేయగలదు.!!!'