CatB 勒索軟件

CatB 勒索軟件是一種針對企業實體的惡意威脅，最初被認為是Pandora勒索軟件的變體，因為它們的贖金票據之間存在相似之處。然而，兩者截然不同。 CatB 包含反 VM 技術，用於驗證在“真實機器”上的執行，然後刪除 DLL 並使用 DLL 劫持來逃避檢測。該惡意軟件由兩個文件組成：“version.dll”，其中包含 UPX 並負責執行反 VM 檢查，以及“oci.dll”，勒索軟件有效負載，在被刪除後執行。

檢查沙箱環境

對 CatB 的分析揭示了威脅使用三種不同的方法來確保它在真實計算機上執行，而不是在虛擬機/沙箱中執行。威脅將執行處理器核心檢查，驗證系統的總可用內存，並考慮連接的硬盤驅動器的大小。

當前或現代計算機通常具有最低的硬件規格。如果 CatB 檢測到結果偏離太多或低於預期值，它會將結果視為未在真實係統上運行的標誌。例如，大多數計算機至少有兩個處理器內核，因此只有一個處理器內核的存在將被判斷為可疑。這同樣適用於物理內存大小。 CatB 勒索軟件利用 GlobalMemoryStatusEx API 函數來檢索必要的信息，如果返回的結果顯示物理內存少於 2GB，它將自行關閉。最後，如果勒索軟件確定其當前環境的硬盤空間小於 50GB，則不會激活。

DLL 劫持和持久化

如果所有反 VM 檢查都通過，釋放器將繼續將勒索軟件負載 (oci.dll) 釋放到 C:\Windows\System32 文件夾中，並修改 MSDTC 服務（分佈式事務處理協調器 Windows 服務，負責用於協調數據庫和 Web 服務器之間的事務）。修改包括將運行服務的帳戶名稱從 Network Service 更改為 Local System，授予其管理員權限，並將其啟動選項從 Demand start 更改為 Auto start 以在系統重啟後保持持久性。

一旦滴管更改了必要的設置，它就會啟動服務。此服務將默認嘗試從 System32 文件夾加載多個 DLL。這允許威脅將非法 DLL（例如 oci.dll）存放到同一目錄中，從而允許它運行損壞的代碼。

加密程序和贖金要求

當 CatB 勒索軟件有效載荷文件“oci.dll”作為“msdtc.exe”進程的一部分加載時，受害者數據的加密就開始了。在執行過程中，CatB 表現出多種特徵，使其有別於更常見的勒索軟件威脅。首先，它會枚舉現有的磁盤和驅動器，並且只加密那些屬於其硬編碼列表的部分——磁盤 D:\、E:\、F:\、G:\、H:\、I:\，以及所有C:\Users 及其子文件夾中包含的文件。為避免在設備上造成任何可能阻止受害者甚至注意到勒索軟件攻擊的嚴重系統錯誤，CatB 不會影響幾個特定的文件擴展名 - .msi、.exe、.dll、.sys、.iso，以及NTUSER.DAT 文件。請注意，CatB 不會以任何方式更改它加密的文件的名稱。

在 CarB 勒索軟件發送勒索票據的方式中觀察到另一個偏離規範的地方。該威脅不會在每個包含鎖定數據的文件夾中創建一個包含要求贖金消息的文本文件，而是將其消息附加到每個加密文件的開頭。這意味著受害者最初可能對為什麼他們的文件看起來已損壞感到困惑，並且只會在嘗試打開其中一個受影響的文件時才會向攻擊者提出要求。贖金票據指出，CatB 勒索軟件使用 RAS-2048 加密算法，要求贖金的大小將取決於受害者支付贖金所需的時間。金額從 50 比特幣（約 80 萬美元）到 130 比特幣（約 200 萬美元）不等。五天后，黑客威脅說所有加密數據將永久丟失。顯然，受害者可以將最多 3 個文件發送到“catB9991@protonmail.com”電子郵件地址以免費解密。

CatB Ransomware 的筆記全文為：

'？？？發生了什麼事？？？
！！！您的文件已加密！！！

您的所有文件都受到 RSA-2048 強加密保護。
沒有公開的解密軟件。

程序和私鑰，價格是多少？價格取決於您支付給我們的速度。

1 天：50 比特幣
2 天：60 比特幣
3 天：90 比特幣
4 天：130 比特幣
5 天：永久數據丟失 !!!!

比特幣地址：bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
！！！收到後，我們會立即將程序和私鑰發送給您的 IT 部門。！！！

免費解密 作為保證，您可以在付款前向我們發送最多 3 個免費解密文件。
郵箱：catB9991@protonmail.com

！！！不要嘗試使用第三方軟件解密您的數據，這可能會導致永久性數據丟失。！！！
！！！我們的程序可以在幾分鐘內修復您的計算機。！！！