CatB 勒索软件

CatB 勒索软件是一种针对企业实体的恶意威胁，最初被认为是Pandora勒索软件的变体，因为它们的赎金票据之间存在相似之处。然而，两者截然不同。 CatB 包含反 VM 技术，用于验证在“真实机器”上的执行，然后删除 DLL 并使用 DLL 劫持来逃避检测。该恶意软件由两个文件组成：“version.dll”，其中包含 UPX 并负责执行反 VM 检查，以及“oci.dll”，勒索软件有效负载，在被删除后执行。

检查沙箱环境

对 CatB 的分析揭示了威胁使用三种不同的方法来确保它在真实计算机上执行，而不是在虚拟机/沙箱中执行。威胁将执行处理器核心检查，验证系统的总可用内存，并考虑连接的硬盘驱动器的大小。

当前或现代计算机通常具有最低的硬件规格。如果 CatB 检测到结果偏离太多或低于预期值，它会将结果视为未在真实系统上运行的标志。例如，大多数计算机至少有两个处理器内核，因此只有一个处理器内核的存在将被判断为可疑。这同样适用于物理内存大小。 CatB 勒索软件利用 GlobalMemoryStatusEx API 函数来检索必要的信息，如果返回的结果显示物理内存少于 2GB，它将自行关闭。最后，如果勒索软件确定其当前环境的硬盘空间小于 50GB，则不会激活。

DLL 劫持和持久化

如果所有反 VM 检查都通过，释放器将继续将勒索软件负载 (oci.dll) 释放到 C:\Windows\System32 文件夹中，并修改 MSDTC 服务（分布式事务处理协调器 Windows 服务，负责用于协调数据库和 Web 服务器之间的事务）。修改包括将运行服务的帐户名称从 Network Service 更改为 Local System，授予其管理员权限，并将其启动选项从 Demand start 更改为 Auto start 以在系统重启后保持持久性。

一旦滴管更改了必要的设置，它就会启动服务。此服务将默认尝试从 System32 文件夹加载多个 DLL。这允许威胁将非法 DLL（例如 oci.dll）存放到同一目录中，从而允许它运行损坏的代码。

加密程序和赎金要求

当 CatB 勒索软件有效载荷文件“oci.dll”作为“msdtc.exe”进程的一部分加载时，受害者数据的加密就开始了。在执行过程中，CatB 表现出多种特征，使其有别于更常见的勒索软件威胁。首先，它会枚举现有的磁盘和驱动器，并且只加密那些属于其硬编码列表的部分——磁盘 D:\、E:\、F:\、G:\、H:\、I:\，以及所有C:\Users 及其子文件夹中包含的文件。为避免在设备上造成任何可能阻止受害者甚至注意到勒索软件攻击的严重系统错误，CatB 不会影响几个特定的文件扩展名 - .msi、.exe、.dll、.sys、.iso，以及NTUSER.DAT 文件。请注意，CatB 不会以任何方式更改它加密的文件的名称。

在 CarB 勒索软件发送勒索票据的方式中观察到另一个偏离规范的地方。该威胁不会在每个包含锁定数据的文件夹中创建一个包含要求赎金消息的文本文件，而是将其消息附加到每个加密文件的开头。这意味着受害者最初可能对为什么他们的文件看起来已损坏感到困惑，并且只会在尝试打开其中一个受影响的文件时才会向攻击者提出要求。赎金票据指出，CatB 勒索软件使用 RAS-2048 加密算法，要求赎金的大小将取决于受害者支付赎金所需的时间。金额从 50 比特币（约 80 万美元）到 130 比特币（约 200 万美元）不等。五天后，黑客威胁说所有加密数据将永久丢失。显然，受害者可以将最多 3 个文件发送到“catB9991@protonmail.com”电子邮件地址以免费解密。

CatB Ransomware 的笔记全文为：

'？？？发生了什么事？？？
！！！您的文件已加密！！！

您的所有文件都受到 RSA-2048 强加密保护。
没有公开的解密软件。

程序和私钥，价格是多少？价格取决于您支付给我们的速度。

1 天：50 比特币
2 天：60 比特币
3 天：90 比特币
4 天：130 比特币
5 天：永久数据丢失 !!!!

比特币地址：bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
！！！收到后，我们会立即将程序和私钥发送给您的 IT 部门。！！！

免费解密 作为保证，您可以在付款前向我们发送最多 3 个免费解密文件。
邮箱：catB9991@protonmail.com

！！！不要尝试使用第三方软件解密您的数据，这可能会导致永久性数据丢失。！！！
！！！我们的程序可以在几分钟内修复您的计算机。！！！