CatB Ransomware
Програмне забезпечення-вимагач CatB — це неприємна загроза, націлена на корпоративні організації, і спочатку вважалася варіантом програмного забезпечення- вимагача Pandora через схожість між їхніми повідомленнями про викуп. Однак ці два досить різні. CatB містить методи захисту від віртуальної машини для перевірки виконання на «справжній машині» з подальшим видаленням DLL і використанням викрадення DLL для цілей ухилення від виявлення. Зловмисне програмне забезпечення складається з двох файлів: «version.dll», який упаковано з UPX і відповідає за проведення перевірок на захист віртуальної машини, і «oci.dll», корисного навантаження програм-вимагачів, яке виконується після видалення.
Зміст
Перевірка середовищ ізольованого програмного середовища
Аналіз CatB виявив три різні методи, які використовує загроза, щоб переконатися, що вона виконується на реальному комп’ютері, а не у віртуальній машині/пісочниці. Загроза виконає перевірку ядра процесора, перевірить загальну доступну пам'ять системи та врахує розмір підключеного жорсткого диска.
Поточні чи сучасні комп’ютери зазвичай мають мінімальні характеристики обладнання. Якщо CatB виявляє результати, які занадто сильно відхиляються або є нижчими від очікуваного значення, він розглядатиме результати як ознаку того, що він не працює в реальній системі. Наприклад, більшість комп’ютерів матимуть принаймні два процесорні ядра, тому наявність лише одного буде вважатися підозрілою. Те саме стосується розміру фізичної пам’яті. Програма-вимагач CatB використовує функцію GlobalMemoryStatusEx API для отримання необхідної інформації та закривається, якщо отримані результати показують менше 2 ГБ фізичної пам’яті. Зрештою, програма-вимагач не активується, якщо визначить, що в поточному середовищі менше 50 ГБ місця на жорсткому диску.
Викрадення та збереження DLL
Якщо всі перевірки на захист від віртуальної машини пройшли успішно, дроппер продовжить перекидати програмне забезпечення-вимагач (oci.dll) у папку C:\Windows\System32 і змінюватиме конфігурації служби MSDTC (служби координатора розподілених транзакцій Windows, яка відповідає за для координації транзакцій між базами даних і веб-серверами). Зміни включають зміну назви облікового запису, який запускає службу, з Network Service на Local System, надання йому прав адміністратора та зміну параметра запуску з Demand start на Auto start, щоб підтримувати постійність після перезавантаження системи.
Після того, як дроппер змінив необхідні налаштування, він запускає службу. Ця служба за замовчуванням намагатиметься завантажити декілька DLL із папки System32. Це дозволяє загрозі розмістити нелегітимну DLL (наприклад, oci.dll) у той самий каталог, дозволяючи їй запускати пошкоджений код.
Процедура шифрування та вимоги викупу
Шифрування даних жертви починається в той момент, коли файл корисного навантаження CatB Ransomware «oci.dll» завантажується як частина процесу «msdtc.exe». Під час виконання CatB демонструє кілька характеристик, які відрізняють його від більш поширених загроз програм-вимагачів. По-перше, він перерахує наявні диски та приводи та зашифрує лише ті, які є частиною його жорстко закодованого списку – диски D:\, E:\, F:\, G:\, H:\, I:\ та всі файли, що містяться в папці C:\Users і її підпапках. Щоб уникнути критичних системних помилок на пристрої, через які жертви навіть не помітять атаку програм-вимагачів, CatB не впливатиме на деякі конкретні розширення файлів – .msi, .exe, .dll, .sys, .iso, а також на файл NTUSER.DAT. Зауважте, що CatB жодним чином не змінює назв файлів, які він шифрує.
Ще одне відхилення від норми спостерігається в тому, як CarB Ransomware доставляє свою записку про викуп. Замість створення текстового файлу з повідомленням про вимогу викупу в кожній папці, що містить заблоковані дані, загроза вкладає своє повідомлення на початку кожного зашифрованого файлу. Це означає, що жертви спочатку можуть бути збентежені щодо того, чому їхні файли виглядають пошкодженими, і їм буде надано вимоги зловмисників лише під час спроби відкрити один із заражених файлів. У примітці про викуп зазначено, що програмне забезпечення-вимагач CatB використовує алгоритм шифрування RAS-2048, а розмір вимаганого викупу базуватиметься на часі, який знадобиться жертвам для оплати. Суми коливаються від 50 біткойнів (~800 000 доларів США) до 130 біткойнів (~2 мільйони доларів США). Через п'ять днів хакери пригрозили, що всі зашифровані дані будуть безповоротно втрачені. Очевидно, жертви можуть надіслати до 3 файлів на електронну адресу catB9991@protonmail.com для безкоштовного розшифрування.
Повний текст примітки CatB Ransomware:
'??? Що трапилося???
!!! Ваші файли зашифровані!!!Усі ваші файли захищені надійним шифруванням за допомогою RSA-2048.
Немає загальнодоступного програмного забезпечення для дешифрування.Програма та закритий ключ, яка ціна? Ціна залежить від того, наскільки швидко ви зможете нам заплатити.
1 день: 50 Bitcoin
2 день: 60 Bitcoin
3 день: 90 Bitcoin
4 день: 130 Bitcoin
5 день: остаточна втрата даних!!!!Адреса BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Після отримання ми надішлемо програму та закритий ключ у ваш ІТ-відділ прямо зараз.!!!Безкоштовне розшифрування Як гарантію ви можете надіслати нам до 3 безкоштовних розшифрованих файлів до оплати.
електронна адреса: catB9991@protonmail.com!!! Не намагайтеся розшифрувати свої дані за допомогою стороннього програмного забезпечення, це може призвести до безповоротної втрати даних.!!!
!!! Наша програма може відновити ваш комп'ютер за кілька хвилин.!!!'
