Giảm giá nhiều giấy phép
Threat Database Ransomware CatB Ransomware

CatB Ransomware

Đến năm Mezo năm Ransomware
Dịch sang:
Tiếng Việt Nam

Phần mềm tống tiền CatB là một mối đe dọa khó chịu nhắm vào các tổ chức doanh nghiệp và ban đầu được cho là một biến thể của Pandora Ransomware do sự giống nhau giữa các ghi chú đòi tiền chuộc của chúng. Tuy nhiên, cả hai khá khác biệt. CatB chứa các kỹ thuật chống máy ảo để xác minh việc thực thi trên 'máy thực', sau đó loại bỏ một DLL và sử dụng chiếm quyền điều khiển DLL cho mục đích trốn tránh bị phát hiện. Phần mềm độc hại bao gồm hai tệp: 'version.dll', được đóng gói bằng UPX và chịu trách nhiệm tiến hành kiểm tra chống VM và 'oci.dll', tải trọng ransomware, được thực thi sau khi bị loại bỏ.

Kiểm tra môi trường Sandbox

Phân tích CatB đã phát hiện ra ba phương pháp khác nhau được sử dụng bởi mối đe dọa để đảm bảo rằng nó đang được thực thi trên một máy tính thực chứ không phải trong VM/sandbox. Mối đe dọa sẽ thực hiện kiểm tra lõi Bộ xử lý, xác minh tổng bộ nhớ khả dụng của hệ thống và xem xét kích thước của Ổ cứng được kết nối.

Các máy tính hiện tại hoặc hiện đại thường có thông số kỹ thuật phần cứng tối thiểu. Nếu CatB phát hiện kết quả sai lệch quá nhiều hoặc thấp hơn giá trị dự kiến, nó sẽ coi kết quả đó là dấu hiệu cho thấy nó không được chạy trên hệ thống thực. Ví dụ: hầu hết các máy tính sẽ có ít nhất hai lõi bộ xử lý, vì vậy sự hiện diện của chỉ một lõi sẽ bị đánh giá là đáng ngờ. Điều tương tự cũng áp dụng cho kích thước bộ nhớ vật lý. CatB Ransomware lợi dụng chức năng API GlobalMemoryStatusEx để lấy thông tin cần thiết và sẽ tự đóng nếu kết quả trả về cho thấy bộ nhớ vật lý còn dưới 2GB. Cuối cùng, phần mềm tống tiền sẽ không kích hoạt nếu nó xác định rằng môi trường hiện tại của nó có ít hơn 50 GB dung lượng ổ cứng.

DLL Hijacking và Persistence

Nếu tất cả các kiểm tra chống VM đều vượt qua, trình nhỏ giọt sẽ tiến hành thả tải trọng ransomware (oci.dll) vào thư mục C:\Windows\System32 và sửa đổi cấu hình của dịch vụ MSDTC (dịch vụ Windows Điều phối viên giao dịch phân tán chịu trách nhiệm để điều phối các giao dịch giữa cơ sở dữ liệu và máy chủ Web). Các sửa đổi bao gồm thay đổi tên của tài khoản đang chạy dịch vụ từ Dịch vụ mạng thành Hệ thống cục bộ, cấp quyền quản trị viên và thay đổi tùy chọn bắt đầu từ Bắt đầu theo yêu cầu thành Bắt đầu tự động để duy trì tính bền vững sau khi khởi động lại hệ thống.

Khi ống nhỏ giọt đã thay đổi các cài đặt cần thiết, nó sẽ khởi chạy dịch vụ. Dịch vụ này mặc định sẽ cố tải nhiều tệp DLL từ thư mục System32. Điều này cho phép mối đe dọa gửi một DLL bất hợp pháp (chẳng hạn như oci.dll) vào cùng một thư mục, cho phép nó chạy mã bị hỏng.

Quy trình mã hóa và yêu cầu tiền chuộc

Quá trình mã hóa dữ liệu của nạn nhân bắt đầu ngay khi tệp tải trọng CatB Ransomware 'oci.dll' được tải như một phần của quy trình 'msdtc.exe'. Trong quá trình thực thi, CatB thể hiện một số đặc điểm khiến nó khác biệt với các mối đe dọa ransomware phổ biến hơn. Đầu tiên, nó sẽ liệt kê các đĩa và ổ đĩa hiện có và chỉ mã hóa những đĩa nằm trong danh sách được mã hóa cứng của nó - Đĩa D:\, E:\, F:\, G:\, H:\, I:\, và tất cả các tệp có trong C:\Users và các thư mục con của nó. Để tránh gây ra bất kỳ lỗi hệ thống nghiêm trọng nào trên thiết bị có thể khiến nạn nhân không nhận ra cuộc tấn công của ransomware, CatB sẽ không tác động đến một số phần mở rộng tệp cụ thể - .msi, .exe, .dll, .sys, .iso, cũng như Tập tin NTUSER.DAT. Lưu ý rằng CatB không thay đổi tên của các tệp mà nó mã hóa theo bất kỳ cách nào.

Một sai lệch khác so với tiêu chuẩn được quan sát thấy trong cách CarB Ransomware đưa ra thông báo đòi tiền chuộc. Thay vì tạo một tệp văn bản có thông báo đòi tiền chuộc trong mỗi thư mục chứa dữ liệu bị khóa, mối đe dọa sẽ đính kèm thông báo của nó vào đầu mỗi tệp được mã hóa. Điều này có nghĩa là nạn nhân ban đầu có thể nhầm lẫn về lý do tại sao các tệp của họ bị hỏng và sẽ chỉ nhận được yêu cầu của những kẻ tấn công khi cố gắng mở một trong các tệp bị ảnh hưởng. Lưu ý về tiền chuộc nói rằng CatB Ransomware sử dụng thuật toán mã hóa RAS-2048 và quy mô của khoản tiền chuộc được yêu cầu sẽ dựa trên thời gian nạn nhân phải trả. Số tiền dao động từ 50 Bitcoin (~800 000 USD) đến 130 Bitcoin (~2 triệu USD). Sau năm ngày, tin tặc đe dọa rằng tất cả dữ liệu được mã hóa sẽ bị mất vĩnh viễn. Rõ ràng, nạn nhân có thể gửi tối đa 3 tệp đến địa chỉ email 'catB9991@protonmail.com' để được giải mã miễn phí.

Toàn văn ghi chú của CatB Ransomware là:

'??? Chuyện gì đã xảy ra???
!!! Các tập tin của bạn được mã hóa!!!

Tất cả các tệp của bạn được bảo vệ bằng mã hóa mạnh với RSA-2048.
Không có phần mềm giải mã công khai.

Chương trình và khóa riêng, Giá là bao nhiêu? Giá phụ thuộc vào tốc độ bạn có thể trả cho chúng tôi.

1 ngày : 50 Bitcoin
2 ngày : 60 Bitcoin
3 ngày : 90 Bitcoin
4 ngày : 130 Bitcoin
5 ngày: mất dữ liệu vĩnh viễn!!!!

Địa chỉ Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Sau khi nhận được, chúng tôi sẽ gửi chương trình và khóa cá nhân đến bộ phận CNTT của bạn ngay bây giờ.!!!

Giải mã miễn phí Để đảm bảo, bạn có thể gửi cho chúng tôi tối đa 3 tệp được giải mã miễn phí trước khi thanh toán.
email: catB9991@protonmail.com

!!! Không tìm cách giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, điều này có thể dẫn đến mất dữ liệu vĩnh viễn.!!!
!!! Chương trình của chúng tôi có thể sửa chữa máy tính của bạn trong vài phút.!!!'

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...