CatB Ransomware
CatB ransomware అనేది కార్పొరేట్ సంస్థలను లక్ష్యంగా చేసుకునే అసహ్యకరమైన ముప్పు మరియు వారి విమోచన నోట్ల మధ్య సారూప్యత కారణంగా మొదట్లో Pandora Ransomware యొక్క రూపాంతరంగా భావించబడింది. అయితే, రెండూ చాలా భిన్నమైనవి. CatB 'రియల్ మెషీన్'లో అమలును ధృవీకరించడానికి యాంటీ-VM టెక్నిక్లను కలిగి ఉంది, దాని తర్వాత DLLని వదలడం మరియు డిటెక్షన్ ఎగవేత ప్రయోజనాల కోసం DLL హైజాకింగ్ను ఉపయోగించడం. మాల్వేర్ రెండు ఫైల్లను కలిగి ఉంటుంది: 'version.dll,' ఇది UPXతో ప్యాక్ చేయబడింది మరియు యాంటీ-VM తనిఖీలను నిర్వహించడానికి బాధ్యత వహిస్తుంది మరియు 'oci.dll,' ransomware పేలోడ్, పడిపోయిన తర్వాత అమలు చేయబడుతుంది.
విషయ సూచిక
శాండ్బాక్స్ పర్యావరణాల కోసం తనిఖీ చేస్తోంది
CatB యొక్క విశ్లేషణ VM/శాండ్బాక్స్లో కాకుండా నిజమైన కంప్యూటర్లో అమలు చేయబడుతుందని నిర్ధారించడానికి ముప్పు ద్వారా ఉపయోగించే మూడు విభిన్న పద్ధతులను కనుగొంది. ముప్పు ప్రాసెసర్ కోర్ తనిఖీని నిర్వహిస్తుంది, సిస్టమ్ యొక్క మొత్తం అందుబాటులో ఉన్న మెమరీని ధృవీకరిస్తుంది మరియు కనెక్ట్ చేయబడిన హార్డ్ డ్రైవ్ పరిమాణాన్ని పరిశీలిస్తుంది.
ప్రస్తుత లేదా ఆధునిక కంప్యూటర్లు సాధారణంగా కనీస హార్డ్వేర్ స్పెసిఫికేషన్లను కలిగి ఉంటాయి. CatB చాలా విచలనం లేదా ఊహించిన విలువ కంటే తక్కువగా ఉన్న ఫలితాలను గుర్తించినట్లయితే, అది నిజమైన సిస్టమ్లో అమలు చేయబడనందుకు సంకేతంగా ఫలితాలను పరిగణిస్తుంది. ఉదాహరణకు, చాలా కంప్యూటర్లు కనీసం రెండు ప్రాసెసర్ కోర్లను కలిగి ఉంటాయి, కాబట్టి ఒకటి మాత్రమే ఉండటం అనుమానాస్పదంగా పరిగణించబడుతుంది. భౌతిక మెమరీ పరిమాణానికి కూడా ఇది వర్తిస్తుంది. CatB Ransomware అవసరమైన సమాచారాన్ని తిరిగి పొందడానికి GlobalMemoryStatusEx API ఫంక్షన్ని సద్వినియోగం చేసుకుంటుంది మరియు తిరిగి వచ్చిన ఫలితాలు 2GB కంటే తక్కువ భౌతిక మెమరీని చూపిస్తే అది మూసివేయబడుతుంది. చివరగా, ransomware దాని ప్రస్తుత వాతావరణంలో 50GB కంటే తక్కువ హార్డ్ డ్రైవ్ స్థలం ఉందని నిర్ధారిస్తే అది సక్రియం కాదు.
DLL హైజాకింగ్ మరియు పెర్సిస్టెన్స్
అన్ని యాంటీ-విఎమ్ తనిఖీలు పాస్ అయితే, డ్రాపర్ ransomware పేలోడ్ (oci.dll)ని C:\Windows\System32 ఫోల్డర్లోకి వదలడానికి కొనసాగుతుంది మరియు MSDTC సర్వీస్ (డిస్టిబ్యూటెడ్ ట్రాన్సాక్షన్ కోఆర్డినేటర్ విండోస్ సర్వీస్, దీనికి బాధ్యత వహిస్తుంది. డేటాబేస్లు మరియు వెబ్ సర్వర్ల మధ్య లావాదేవీలను సమన్వయం చేయడం కోసం). నెట్వర్క్ సర్వీస్ నుండి లోకల్ సిస్టమ్కు సేవను నడుపుతున్న ఖాతా పేరును మార్చడం, దానికి నిర్వాహక హక్కులను మంజూరు చేయడం మరియు సిస్టమ్ పునఃప్రారంభించిన తర్వాత నిలకడను కొనసాగించడానికి డిమాండ్ ప్రారంభం నుండి ఆటో ప్రారంభం వరకు దాని ప్రారంభ ఎంపికను మార్చడం వంటి సవరణలు ఉన్నాయి.
డ్రాపర్ అవసరమైన సెట్టింగ్లను మార్చిన తర్వాత, అది సేవను ప్రారంభిస్తుంది. సిస్టమ్32 ఫోల్డర్ నుండి బహుళ DLLలను లోడ్ చేయడానికి ఈ సేవ డిఫాల్ట్గా ప్రయత్నిస్తుంది. ఇది చట్టవిరుద్ధమైన DLL (oci.dll వంటివి)ని అదే డైరెక్టరీలో డిపాజిట్ చేయడానికి ముప్పును అనుమతిస్తుంది, ఇది పాడైన కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది.
ఎన్క్రిప్షన్ రొటీన్ మరియు విమోచన డిమాండ్లు
'msdtc.exe' ప్రక్రియలో భాగంగా CatB Ransomware పేలోడ్ ఫైల్ 'oci.dll' లోడ్ అయిన క్షణం నుండి బాధితుడి డేటా ఎన్క్రిప్షన్ ప్రారంభమవుతుంది. దాని అమలు సమయంలో, CatB చాలా సాధారణమైన ransomware బెదిరింపుల నుండి వేరుగా ఉండే అనేక లక్షణాలను ప్రదర్శిస్తుంది. ముందుగా, ఇది ఇప్పటికే ఉన్న డిస్క్లు మరియు డ్రైవ్లను గణిస్తుంది మరియు దాని హార్డ్కోడ్ జాబితాలో భాగమైన వాటిని మాత్రమే గుప్తీకరిస్తుంది - డిస్క్లు D:\, E:\, F:\, G:\, H:\, I:\, మరియు అన్ని C:\Users మరియు దాని ఉప-ఫోల్డర్లలో ఉన్న ఫైల్లు. ransomware దాడిని బాధితులు గమనించకుండా నిరోధించే పరికరంలో ఏవైనా క్లిష్టమైన సిస్టమ్ ఎర్రర్లను కలిగించకుండా ఉండటానికి, CatB అనేక నిర్దిష్ట ఫైల్ పొడిగింపులను ప్రభావితం చేయదు - .msi, .exe, .dll, .sys, .iso, అలాగే NTUSER.DAT ఫైల్. CatB ఏ విధంగానూ ఎన్క్రిప్ట్ చేసే ఫైల్ల పేర్లను మార్చదని గుర్తుంచుకోండి.
CarB Ransomware దాని విమోచన నోట్ను బట్వాడా చేసే విధానంలో ప్రమాణం నుండి మరొక విచలనం గమనించవచ్చు. లాక్ చేయబడిన డేటాను కలిగి ఉన్న ప్రతి ఫోల్డర్లో విమోచన-డిమాండ్ సందేశంతో టెక్స్ట్ ఫైల్ను సృష్టించడానికి బదులుగా, ముప్పు దాని సందేశాన్ని ప్రతి గుప్తీకరించిన ఫైల్ ప్రారంభానికి జోడించబడుతుంది. దీనర్థం, బాధితులు తమ ఫైల్లు ఎందుకు పాడైపోయాయనే దాని గురించి మొదట్లో అయోమయం చెందుతారు మరియు ప్రభావితమైన ఫైల్లలో ఒకదాన్ని తెరవడానికి ప్రయత్నిస్తున్నప్పుడు దాడి చేసేవారి డిమాండ్లతో మాత్రమే ప్రదర్శించబడతారు. CatB Ransomware RAS-2048 ఎన్క్రిప్షన్ అల్గారిథమ్ను ఉపయోగిస్తుందని మరియు బాధితులు చెల్లించడానికి తీసుకునే సమయం ఆధారంగా డిమాండ్ చేసిన విమోచన పరిమాణం ఆధారపడి ఉంటుందని రాన్సమ్ నోట్ పేర్కొంది. మొత్తాలు 50 బిట్కాయిన్ (~$800 000) నుండి 130 బిట్కాయిన్ (~$2 మిలియన్) వరకు ఉంటాయి. ఐదు రోజుల తర్వాత, గుప్తీకరించిన డేటా మొత్తం శాశ్వతంగా పోతుందని హ్యాకర్లు బెదిరించారు. స్పష్టంగా, బాధితులు ఉచితంగా డీక్రిప్ట్ చేయడానికి 'catB9991@protonmail.com' ఇమెయిల్ చిరునామాకు 3 ఫైల్లను పంపవచ్చు.
CatB Ransomware నోట్ పూర్తి పాఠం:
'??? ఏమి అయ్యింది???
!!! మీ ఫైల్లు ఎన్క్రిప్ట్ చేయబడ్డాయి !!!మీ అన్ని ఫైల్లు RSA-2048తో బలమైన ఎన్క్రిప్షన్ ద్వారా రక్షించబడ్డాయి.
పబ్లిక్ డిక్రిప్షన్ సాఫ్ట్వేర్ లేదు.ప్రోగ్రామ్ మరియు ప్రైవేట్ కీ, ధర ఎంత? మీరు మాకు ఎంత వేగంగా చెల్లించగలరు అనే దానిపై ధర ఆధారపడి ఉంటుంది.
1 రోజు: 50 బిట్కాయిన్
2 రోజు: 60 బిట్కాయిన్
3 రోజు: 90 బిట్కాయిన్
4 రోజు: 130 బిట్కాయిన్
5 రోజు: శాశ్వత డేటా నష్టం !!!!Btc చిరునామా: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! అందుకున్న తర్వాత, మేము ప్రస్తుతం మీ IT విభాగానికి ప్రోగ్రామ్ మరియు ప్రైవేట్ కీని పంపుతాము.!!!ఉచిత డీక్రిప్షన్ హామీగా, మీరు చెల్లింపుకు ముందు మాకు 3 ఉచిత డీక్రిప్టెడ్ ఫైల్లను పంపవచ్చు.
ఇమెయిల్: catB9991@protonmail.com!!! థర్డ్-పార్టీ సాఫ్ట్వేర్ని ఉపయోగించి మీ డేటాను డీక్రిప్ట్ చేయడానికి ప్రయత్నించవద్దు, ఇది శాశ్వత డేటా నష్టానికి దారితీయవచ్చు.!!!
!!! మా ప్రోగ్రామ్ మీ కంప్యూటర్ను కొన్ని నిమిషాల్లో రిపేర్ చేయగలదు.!!!'