CatB Ransomware

CatB fidye yazılımı, kurumsal varlıkları hedef alan kötü bir tehdittir ve fidye notları arasındaki benzerlikler nedeniyle başlangıçta Pandora Ransomware'in bir çeşidi olduğu düşünülmüştür. Ancak ikisi oldukça farklı. CatB, "gerçek bir makinede" yürütmeyi doğrulamak için anti-VM teknikleri içerir, ardından bir DLL bırakılır ve algılama kaçırma amacıyla DLL ele geçirme kullanılır. Kötü amaçlı yazılım iki dosyadan oluşur: UPX ile paketlenmiş ve anti-VM kontrollerini yürütmekten sorumlu olan 'version.dll' ve düşürüldükten sonra yürütülen fidye yazılımı yükü 'oci.dll'.

Korumalı Alan Ortamlarını Denetleme

CatB'nin analizi, tehdidin sanal makinede/korumalı alanda değil gerçek bir bilgisayarda yürütüldüğünden emin olmak için kullandığı üç farklı yöntemi ortaya çıkardı. Tehdit, İşlemci çekirdeği kontrolü gerçekleştirecek, sistemin toplam kullanılabilir belleğini doğrulayacak ve bağlı Sabit Sürücünün boyutunu dikkate alacaktır.

Mevcut veya modern bilgisayarlar tipik olarak minimum donanım özelliklerine sahiptir. CatB, çok fazla sapma gösteren veya beklenen bir değerin altında olan sonuçlar tespit ederse, sonuçları gerçek bir sistemde çalıştırılmadığının bir işareti olarak değerlendirecektir. Örneğin, çoğu bilgisayarda en az iki işlemci çekirdeği bulunur, dolayısıyla yalnızca birinin varlığı şüpheli olarak değerlendirilir. Aynı fiziksel bellek boyutu için de geçerlidir. CatB Fidye Yazılımı, gerekli bilgileri almak için GlobalMemoryStatusEx API işlevinden yararlanır ve döndürülen sonuçlar 2 GB'tan az fiziksel bellek gösterirse kendini kapatır. Son olarak, fidye yazılımı mevcut ortamında 50 GB'tan az sabit disk alanı olduğunu belirlerse etkinleşmez.

DLL Ele Geçirme ve Kalıcılık

Tüm anti-VM kontrolleri başarılı olursa, damlatıcı fidye yazılımı yükünü (oci.dll) C:\Windows\System32 klasörüne bırakmaya ve MSDTC hizmetinin (bundan sorumlu olan Dağıtılmış İşlem Koordinatörü Windows hizmeti) veritabanları ve Web sunucuları arasındaki işlemleri koordine etmek için). Değişiklikler, hizmeti çalıştıran hesabın adının Ağ Hizmeti'nden Yerel Sistem'e değiştirilmesini, ona yönetici hakları verilmesini ve sistem yeniden başlatıldıktan sonra kalıcılığı sürdürmek için Başlatma seçeneğini Talep başlatma yerine Otomatik başlatma olarak değiştirmeyi içerir.

Damlalık gerekli ayarları değiştirdikten sonra hizmeti başlatır. Bu hizmet, varsayılan olarak System32 klasöründen birden fazla DLL yüklemeye çalışır. Bu, tehdidin aynı dizine meşru olmayan bir DLL (oci.dll gibi) yüklemesine ve bozuk kod çalıştırmasına izin verir.

Şifreleme Rutini ve Fidye Talepleri

Kurbanın verilerinin şifrelenmesi, CatB Ransomware yük dosyası 'oci.dll' 'msdtc.exe' işleminin bir parçası olarak yüklendiği anda başlar. Yürütülmesi sırasında CatB, onu daha yaygın fidye yazılımı tehditlerinden ayıran çeşitli özellikler sergiler. İlk olarak, mevcut diskleri ve sürücüleri sıralayacak ve yalnızca sabit kodlu listesinin parçası olanları şifreleyecektir - Diskler D:\, E:\, F:\, G:\, H:\, I:\ ve tüm C:\Users ve alt klasörlerinde bulunan dosyalar. Cihazda, kurbanların fidye yazılımı saldırısını fark etmelerini bile engelleyebilecek herhangi bir kritik sistem hatasına yol açmamak için CatB, belirli bazı dosya uzantılarını (.msi, .exe, .dll, .sys, .iso) etkilemeyecektir. NTUSER.DAT dosyası. CatB'nin şifrelediği dosyaların adlarını hiçbir şekilde değiştirmediğini unutmayın.

Normdan başka bir sapma, CarB Ransomware'in fidye notunu teslim etme biçiminde gözlemlenir. Tehdit, kilitli veriler içeren her klasörde fidye talep eden mesaj içeren bir metin dosyası oluşturmak yerine, mesajını her şifrelenmiş dosyanın başına ekler. Bu, kurbanların başlangıçta dosyalarının neden bozuk göründüğü konusunda kafalarının karışabileceği ve yalnızca etkilenen dosyalardan birini açmaya çalışırken saldırganların taleplerinin sunulacağı anlamına gelir. Fidye notu, CatB Ransomware'in RAS-2048 şifreleme algoritmasını kullandığını ve talep edilen fidyenin boyutunun, kurbanların ödeme yapması için geçen süreye bağlı olacağını belirtir. Toplamlar 50 Bitcoin (~800 000$) ile 130 Bitcoin (~2 Milyon$) arasında değişmektedir. Beş gün sonra bilgisayar korsanları, şifrelenmiş tüm verilerin kalıcı olarak kaybolacağı tehdidinde bulundu. Görünüşe göre kurbanlar, 'catB9991@protonmail.com' e-posta adresine ücretsiz olarak şifresi çözülmek üzere 3 adede kadar dosya gönderebiliyor.

CatB Ransomware'in notunun tam metni:

'??? Ne oldu???
!!! Dosyalarınız şifrelenir !!!

Tüm dosyalarınız RSA-2048 ile güçlü şifreleme ile korunmaktadır.
Herkese açık bir şifre çözme yazılımı yoktur.

Program ve private key, Fiyat nedir? Fiyat, bize ne kadar hızlı ödeyebileceğinize bağlıdır.

1 gün: 50 Bitcoin
2 gün: 60 Bitcoin
3 gün: 90 Bitcoin
4 gün: 130 Bitcoin
5 gün: kalıcı veri kaybı!!!!

Btc Adresi: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Aldıktan sonra, program ve özel anahtarı hemen BT departmanınıza göndereceğiz.!!!

Ücretsiz şifre çözme Garanti olarak, ödemeden önce bize 3 adede kadar ücretsiz şifresi çözülmüş dosya gönderebilirsiniz.
e-posta: catB9991@protonmail.com

!!! Verilerinizin şifresini üçüncü taraf yazılım kullanarak çözmeye çalışmayın, bu kalıcı veri kaybına neden olabilir.!!!
!!! Programımız bilgisayarınızı birkaç dakika içinde onarabilir.!!!'