CatB ランサムウェア
CatB ランサムウェアは、企業体を標的とする厄介な脅威であり、身代金メモが類似していることから、当初はPandora ランサムウェアの亜種であると考えられていました。ただし、この 2 つはかなり異なります。 CatB には、「実機」での実行を検証するためのアンチ VM 技術が含まれており、続いて DLL をドロップし、検出回避のために DLL ハイジャックを使用します。マルウェアは 2 つのファイルで構成されています。UPX で圧縮され、アンチ VM チェックを実行する「version.dll」と、ドロップ後に実行されるランサムウェア ペイロードの「oci.dll」です。
目次
サンドボックス環境の確認
CatB の分析により、この脅威が VM/サンドボックスではなく実際のコンピューターで実行されていることを確認するために使用される 3 つの異なる方法が明らかになりました。この脅威は、プロセッサ コア チェックを実行し、システムの利用可能なメモリの合計を確認し、接続されているハード ドライブのサイズを考慮します。
通常、現在または最新のコンピューターのハードウェア仕様は最小限です。 CatB が過度に逸脱した結果や期待値を下回った結果を検出した場合、その結果は実際のシステムで実行されていないという兆候として扱われます。たとえば、ほとんどのコンピュータには少なくとも 2 つのプロセッサ コアが搭載されているため、1 つのみの存在は疑わしいと判断されます。同じことが物理メモリ サイズにも当てはまります。 CatB ランサムウェアは、GlobalMemoryStatusEx API 関数を利用して必要な情報を取得し、返された結果が 2GB 未満の物理メモリを示している場合、それ自体を閉じます。最後に、現在の環境のハード ドライブ容量が 50GB 未満であるとランサムウェアが判断した場合、ランサムウェアはアクティブになりません。
DLL ハイジャックと持続性
すべての VM 対策チェックに合格すると、ドロッパーはランサムウェア ペイロード (oci.dll) を C:\Windows\System32 フォルダーにドロップし、MSDTC サービス (分散トランザクション コーディネーターの Windows サービスであり、これを担当する) の構成を変更します。データベースと Web サーバー間のトランザクションを調整するため)。変更には、サービスを実行しているアカウントの名前を Network Service から Local System に変更し、管理者権限を付与し、開始オプションを Demand start から Auto start に変更して、システムの再起動後に持続性を維持することが含まれます。
ドロッパーは必要な設定を変更すると、サービスを起動します。このサービスは、既定で System32 フォルダーから複数の DLL を読み込もうとします。これにより、この脅威は不正な DLL (oci.dll など) を同じディレクトリに配置し、破損したコードを実行できるようになります。
暗号化ルーチンと身代金要求
被害者のデータの暗号化は、CatB ランサムウェア ペイロード ファイル「oci.dll」が「msdtc.exe」プロセスの一部として読み込まれた瞬間に開始されます。実行中、CatB は、より一般的なランサムウェアの脅威とは一線を画すいくつかの特徴を示します。まず、既存のディスクとドライブを列挙し、ハードコードされたリスト (ディスク D:\、E:\、F:\、G:\、H:\、I:\、およびすべてのディスク) に含まれるもののみを暗号化します。 C:\Users とそのサブフォルダーに含まれるファイル。被害者がランサムウェア攻撃に気付くのを妨げる可能性のある重大なシステム エラーがデバイス上で発生しないようにするため、CatB はいくつかの特定のファイル拡張子 (.msi、.exe、.dll、.sys、.iso、およびNTUSER.DAT ファイル。 CatB は、暗号化するファイルの名前を変更しないことに注意してください。
標準からの別の逸脱は、CarB ランサムウェアが身代金メモを配信する方法で観察されます。この脅威は、ロックされたデータを含む各フォルダーに身代金を要求するメッセージを含むテキスト ファイルを作成する代わりに、すべての暗号化されたファイルの先頭にメッセージを添付します。これは、被害者がファイルが破損しているように見える理由について最初は混乱する可能性があり、影響を受けるファイルの 1 つを開こうとしたときにのみ、攻撃者の要求が提示されることを意味します。身代金メモには、CatB Ransomware は RAS-2048 暗号化アルゴリズムを使用しており、要求される身代金のサイズは、被害者が支払うのにかかる時間に基づくと記載されています。金額の範囲は、50 ビットコイン (~80 万ドル) から 130 ビットコイン (~200 万ドル) までです。 5 日後、ハッカーは、暗号化されたすべてのデータが永久に失われると脅しました。どうやら、被害者は最大 3 つのファイルを「catB9991@protonmail.com」のメール アドレスに送信して無料で復号化できるようです。
CatB ランサムウェアのメモの全文は次のとおりです。
'???何が起こった???
!!!あなたのファイルは暗号化されています!!!すべてのファイルは、RSA-2048 による強力な暗号化によって保護されています。
公開されている復号化ソフトウェアはありません。プログラムと秘密鍵、価格は?価格は、あなたが私たちにどれだけ早く支払うことができるかによって異なります.
1日:50ビットコイン
2 日 : 60 ビットコイン
3 日 : 90 ビットコイン
4 日 : 130 ビットコイン
5 日 : 永久的なデータ損失 !!!!BTC アドレス: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!!受け取った後、プログラムと秘密鍵をIT部門にすぐに送信します.!!!無料の復号化 保証として、支払い前に最大 3 つの無料の復号化ファイルを送信できます。
電子メール: catB9991@protonmail.com!!!サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります.!!!
!!!私たちのプログラムはあなたのコンピュータを数分で修復できます.!!!」
