CatB แรนซัมแวร์

แรนซั่มแวร์ CatB เป็นภัยคุกคามที่น่ารังเกียจซึ่งมีเป้าหมายที่องค์กรต่างๆ และในตอนแรกคิดว่าเป็นแพลงก์ตอนของ Pandora Ransomware เนื่องจากมีความคล้ายคลึงกันระหว่างบันทึกเรียกค่าไถ่ อย่างไรก็ตามทั้งสองมีความแตกต่างกันมาก CatB มีเทคนิคต่อต้าน VM สำหรับการตรวจสอบการดำเนินการบน 'เครื่องจริง' ตามด้วยการวาง DLL และใช้ DLL hijacking เพื่อวัตถุประสงค์ในการตรวจจับการหลีกเลี่ยง มัลแวร์ประกอบด้วยไฟล์สองไฟล์: 'version.dll' ซึ่งบรรจุด้วย UPX และมีหน้าที่ดำเนินการตรวจสอบ anti-VM และ 'oci.dll' เพย์โหลดของแรนซัมแวร์ซึ่งถูกดำเนินการหลังจากหลุด

การตรวจสอบสภาพแวดล้อมแบบ Sandbox

การวิเคราะห์ CatB ได้เปิดเผยวิธีการต่างๆ 3 วิธีที่ใช้โดยภัยคุกคามเพื่อให้แน่ใจว่ากำลังดำเนินการบนคอมพิวเตอร์จริง ไม่ใช่ใน VM/sandbox ภัยคุกคามจะทำการตรวจสอบแกนประมวลผล ตรวจสอบหน่วยความจำที่มีอยู่ทั้งหมดของระบบ และพิจารณาขนาดของฮาร์ดไดรฟ์ที่เชื่อมต่อ

คอมพิวเตอร์ปัจจุบันหรือสมัยใหม่มักมีข้อกำหนดฮาร์ดแวร์ขั้นต่ำ หาก CatB ตรวจพบผลลัพธ์ที่เบี่ยงเบนมากเกินไปหรือต่ำกว่าค่าที่คาดไว้ ก็จะถือว่าผลลัพธ์เป็นสัญญาณว่าไม่ได้รันบนระบบจริง ตัวอย่างเช่น คอมพิวเตอร์ส่วนใหญ่จะมีแกนประมวลผลอย่างน้อยสองแกน ดังนั้นการมีอยู่เพียงแกนเดียวจะถูกตัดสินว่าน่าสงสัย เช่นเดียวกับขนาดหน่วยความจำกายภาพ CatB Ransomware ใช้ประโยชน์จากฟังก์ชัน GlobalMemoryStatusEx API เพื่อดึงข้อมูลที่จำเป็นและจะปิดตัวเองหากผลลัพธ์ที่ส่งคืนแสดงหน่วยความจำกายภาพน้อยกว่า 2GB สุดท้าย แรนซัมแวร์จะไม่เปิดใช้งานหากพบว่าสภาพแวดล้อมปัจจุบันมีพื้นที่ว่างในฮาร์ดไดรฟ์น้อยกว่า 50GB

การหักหลัง DLL และการคงอยู่

หากการตรวจสอบ anti-VM ทั้งหมดผ่าน dropper จะดำเนินการดร็อปเพย์โหลดแรนซัมแวร์ (oci.dll) ลงในโฟลเดอร์ C:\Windows\System32 และแก้ไขการกำหนดค่าของบริการ MSDTC (บริการ Distributed Transaction Coordinator Windows ซึ่งมีหน้าที่รับผิดชอบ สำหรับประสานธุรกรรมระหว่างฐานข้อมูลและเว็บเซิร์ฟเวอร์) การแก้ไขรวมถึงการเปลี่ยนชื่อบัญชีที่เรียกใช้บริการจาก Network Service เป็น Local System ให้สิทธิ์ผู้ดูแลระบบ และเปลี่ยนตัวเลือกการเริ่มต้นจาก Demand start เป็น Auto start เพื่อรักษาความคงอยู่หลังจากรีสตาร์ทระบบ

เมื่อหลอดหยดเปลี่ยนการตั้งค่าที่จำเป็นแล้ว ก็จะเปิดใช้บริการ บริการนี้จะพยายามโหลด DLL หลายตัวจากโฟลเดอร์ System32 เป็นค่าเริ่มต้น ซึ่งช่วยให้ภัยคุกคามสามารถฝาก DLL ที่ไม่ถูกต้อง (เช่น oci.dll) ไว้ในไดเร็กทอรีเดียวกัน ทำให้สามารถรันโค้ดที่เสียหายได้

รูทีนการเข้ารหัสและความต้องการค่าไถ่

การเข้ารหัสข้อมูลของเหยื่อจะเริ่มขึ้นทันทีที่ไฟล์เพย์โหลด CatB Ransomware 'oci.dll' ถูกโหลดโดยเป็นส่วนหนึ่งของกระบวนการ 'msdtc.exe' ในระหว่างการดำเนินการ CatB แสดงลักษณะหลายอย่างที่ทำให้แตกต่างจากภัยคุกคามแรนซัมแวร์ทั่วไป ขั้นแรก มันจะระบุดิสก์และไดรฟ์ที่มีอยู่ และเข้ารหัสเฉพาะที่เป็นส่วนหนึ่งของรายการฮาร์ดโค้ด - ดิสก์ D:\, E:\, F:\, G:\, H:\, I:\ และทั้งหมด ไฟล์ที่อยู่ใน C:\Users และโฟลเดอร์ย่อย เพื่อหลีกเลี่ยงไม่ให้เกิดข้อผิดพลาดร้ายแรงของระบบบนอุปกรณ์ที่อาจป้องกันไม่ให้ผู้ที่ตกเป็นเหยื่อสังเกตเห็นการโจมตีของแรนซัมแวร์ CatB จะไม่ส่งผลกระทบต่อนามสกุลไฟล์เฉพาะหลายนามสกุล เช่น .msi, .exe, .dll, .sys, .iso รวมถึง ไฟล์ NTUSER.DAT โปรดทราบว่า CatB จะไม่เปลี่ยนชื่อไฟล์ที่เข้ารหัสแต่อย่างใด

การเบี่ยงเบนจากบรรทัดฐานอีกประการหนึ่งสังเกตได้จากวิธีที่ CarB Ransomware ส่งข้อความเรียกค่าไถ่ แทนที่จะสร้างไฟล์ข้อความที่มีข้อความเรียกค่าไถ่ในแต่ละโฟลเดอร์ที่มีข้อมูลที่ถูกล็อค ภัยคุกคามจะแนบข้อความไปที่จุดเริ่มต้นของไฟล์ที่เข้ารหัสทุกไฟล์ ซึ่งหมายความว่าในตอนแรกเหยื่ออาจสับสนว่าเหตุใดไฟล์ของพวกเขาจึงดูเหมือนเสียหาย และจะแสดงด้วยความต้องการของผู้โจมตีเท่านั้นเมื่อพยายามเปิดไฟล์ใดไฟล์หนึ่งที่ได้รับผลกระทบ หมายเหตุค่าไถ่ระบุว่า CatB Ransomware ใช้อัลกอริทึมการเข้ารหัส RAS-2048 และขนาดของค่าไถ่ที่ต้องการจะขึ้นอยู่กับเวลาที่เหยื่อต้องชำระเงิน ผลรวมมีตั้งแต่ 50 Bitcoin (ประมาณ 800,000 เหรียญสหรัฐ) ถึง 130 Bitcoin (ประมาณ 2 ล้านเหรียญสหรัฐ) หลังจากผ่านไปห้าวัน แฮ็กเกอร์ขู่ว่าข้อมูลที่เข้ารหัสทั้งหมดจะสูญหายอย่างถาวร เห็นได้ชัดว่าผู้ที่ตกเป็นเหยื่อสามารถส่งไฟล์ได้ถึง 3 ไฟล์ไปยังที่อยู่อีเมล 'catB9991@protonmail.com' เพื่อถอดรหัสได้ฟรี

ข้อความทั้งหมดของบันทึกย่อของ CatB Ransomware คือ:

'??? เกิดอะไรขึ้น???
!!! ไฟล์ของคุณถูกเข้ารหัส !!!

ไฟล์ทั้งหมดของคุณได้รับการปกป้องด้วยการเข้ารหัสที่แข็งแกร่งด้วย RSA-2048
ไม่มีซอฟต์แวร์ถอดรหัสสาธารณะ

โปรแกรมและคีย์ส่วนตัวราคาเท่าไหร่? ราคาขึ้นอยู่กับว่าคุณจ่ายให้เราได้เร็วแค่ไหน

1 วัน : 50 Bitcoin
2 วัน : 60 Bitcoin
3 วัน : 90 Bitcoin
4 วัน : 130 Bitcoin
5 วัน : ข้อมูลหายถาวร !!!!

ที่อยู่ BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! หลังจากได้รับ เราจะส่งโปรแกรมและรหัสส่วนตัวไปยังแผนกไอทีของคุณทันที.!!!

ถอดรหัสฟรี เพื่อเป็นการรับประกัน คุณสามารถส่งไฟล์ถอดรหัสฟรีให้เราได้สูงสุด 3 ไฟล์ก่อนชำระเงิน
อีเมล: catB9991@protonmail.com

!!! อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์ของบุคคลที่สาม อาจทำให้ข้อมูลสูญหายถาวร!!!
!!! โปรแกรมของเราสามารถซ่อมคอมพิวเตอร์ของคุณได้ในไม่กี่นาที!!!'