CatB Ransomware
Ang CatB ransomware ay isang masamang banta na nagta-target sa mga corporate entity at noong una ay naisip na isang variant ng Pandora Ransomware dahil sa pagkakapareho ng kanilang mga ransom notes. Gayunpaman, ang dalawa ay medyo naiiba. Naglalaman ang CatB ng mga diskarteng anti-VM para sa pag-verify ng pagpapatupad sa isang 'tunay na makina,' na sinusundan ng pag-drop ng isang DLL at paggamit ng DLL hijacking para sa mga layunin ng pag-iwas sa pagtuklas. Binubuo ang malware ng dalawang file: 'version.dll,' na puno ng UPX at responsable sa pagsasagawa ng mga anti-VM na pagsusuri, at 'oci.dll,' ang ransomware payload, na ipapatupad pagkatapos na i-drop.
Talaan ng mga Nilalaman
Pagsusuri para sa Sandbox Environment
Natuklasan ng pagsusuri sa CatB ang tatlong magkakaibang pamamaraan na ginamit ng banta upang matiyak na ito ay isinasagawa sa isang tunay na computer at hindi sa isang VM/sandbox. Ang banta ay magsasagawa ng Processor core check, i-verify ang kabuuang magagamit na memorya ng system, at isaalang-alang ang laki ng konektadong Hard Drive.
Ang mga kasalukuyan o modernong computer ay karaniwang may kaunting mga detalye ng hardware. Kung nakita ng CatB ang mga resulta na masyadong lumilihis o mas mababa sa inaasahang halaga, ituturing nito ang mga resulta bilang tanda ng hindi ito tumatakbo sa isang tunay na system. Halimbawa, karamihan sa mga computer ay magkakaroon ng hindi bababa sa dalawang processor core, kaya ang pagkakaroon ng isa lamang ay hahatulan bilang kahina-hinala. Ang parehong naaangkop sa pisikal na laki ng memorya. Sinasamantala ng CatB Ransomware ang GlobalMemoryStatusEx API function upang makuha ang kinakailangang impormasyon at isasara ang sarili nito kung ang mga ibinalik na resulta ay nagpapakita ng mas mababa sa 2GB ng pisikal na memorya. Sa wakas, hindi mag-a-activate ang ransomware kung matutukoy nito na ang kasalukuyang kapaligiran nito ay may mas mababa sa 50GB ng espasyo sa hard drive.
Pag-hijack at Pagtitiyaga ng DLL
Kung pumasa ang lahat ng anti-VM check, magpapatuloy ang dropper na i-drop ang ransomware payload (oci.dll) sa C:\Windows\System32 folder at babaguhin ang mga configuration ng MSDTC service (ang Distributed Transaction Coordinator Windows service, na siyang responsable para sa pag-uugnay ng mga transaksyon sa pagitan ng mga database at mga Web server). Kasama sa mga pagbabago ang pagpapalit ng pangalan ng account na nagpapatakbo ng serbisyo mula sa Network Service patungong Local System, pagbibigay dito ng mga karapatang pang-admin, at pagpapalit ng opsyon sa pagsisimula nito mula sa Demand start sa Auto start upang mapanatili ang pagtitiyaga pagkatapos ng pag-restart ng system.
Kapag binago ng dropper ang mga kinakailangang setting, ilulunsad nito ang serbisyo. Ang serbisyong ito ay default na susubukan na mag-load ng maraming DLL mula sa folder ng System32. Nagbibigay-daan ito sa banta na magdeposito ng hindi lehitimong DLL (gaya ng oci.dll) sa parehong direktoryo, na nagbibigay-daan dito na magpatakbo ng sirang code.
Routine sa Pag-encrypt at Mga Kahilingan sa Ransom
Ang pag-encrypt ng data ng biktima ay magsisimula sa sandaling na-load ang CatB Ransomware payload file na 'oci.dll' bilang bahagi ng proseso ng 'msdtc.exe'. Sa panahon ng pagpapatupad nito, ang CatB ay nagpapakita ng ilang mga katangian na nagbubukod dito sa mas karaniwang mga banta sa ransomware. Una, isa-isa nito ang mga umiiral na disc at drive at ie-encrypt lamang ang mga bahagi ng hardcoded na listahan nito - Mga Disk D:\, E:\, F:\, G:\, H:\, I:\, at lahat ng mga file na nasa C:\Users at mga sub-folder nito. Upang maiwasang magdulot ng anumang kritikal na error sa system sa device na maaaring pumigil sa mga biktima na mapansin ang pag-atake ng ransomware, hindi makakaapekto ang CatB sa ilang partikular na extension ng file - .msi, .exe, .dll, .sys, .iso, pati na rin ang NTUSER.DAT file. Tandaan na hindi binabago ng CatB ang mga pangalan ng mga file na ine-encrypt nito sa anumang paraan.
Ang isa pang paglihis mula sa pamantayan ay sinusunod sa paraan ng paghahatid ng CarB Ransomware ng ransom note nito. Sa halip na lumikha ng isang text file na may mensaheng humihingi ng ransom sa bawat folder na naglalaman ng naka-lock na data, inilalagay ng banta ang mensahe nito sa simula ng bawat naka-encrypt na file. Nangangahulugan ito na maaaring malito sa simula ang mga biktima kung bakit lumalabas na sira ang kanilang mga file at ipapakita lamang ang mga hinihingi ng mga umaatake kapag sinusubukang buksan ang isa sa mga naapektuhang file. Ang ransom note ay nagsasaad na ang CatB Ransomware ay gumagamit ng RAS-2048 encryption algorithm at ang laki ng hinihinging ransom ay ibabatay sa oras na kinakailangan ng mga biktima upang magbayad. Ang mga kabuuan ay mula 50 Bitcoin (~$800 000) hanggang 130 Bitcoin (~$2 Milyon). Pagkalipas ng limang araw, nagbanta ang mga hacker na permanenteng mawawala ang lahat ng naka-encrypt na data. Tila, ang mga biktima ay maaaring magpadala ng hanggang 3 file sa 'catB9991@protonmail.com' na email address upang ma-decrypt nang libre.
Ang buong teksto ng tala ng CatB Ransomware ay:
'??? Anong nangyari???
!!! Ang iyong mga file ay naka-encrypt !!!Ang lahat ng iyong mga file ay protektado ng malakas na pag-encrypt gamit ang RSA-2048.
Walang pampublikong decryption software.Programa at pribadong key, Ano ang presyo? Ang presyo ay depende sa kung gaano kabilis ka makakabayad sa amin.
1 araw : 50 Bitcoin
2 araw : 60 Bitcoin
3 araw : 90 Bitcoin
4 na araw : 130 Bitcoin
5 araw : permanenteng pagkawala ng data !!!!Btc Address: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Pagkatapos matanggap, magpapadala kami ng program at pribadong key sa iyong IT department ngayon.!!!Libreng decryption Bilang garantiya, maaari kang magpadala sa amin ng hanggang 3 libreng decrypted na file bago magbayad.
email: catB9991@protonmail.com!!! Huwag subukang i-decrypt ang iyong data gamit ang software ng third-party, maaari itong magresulta sa permanenteng pagkawala ng data.!!!
!!! Maaaring ayusin ng aming programa ang iyong computer sa ilang minuto.!!!'
