خصومات التراخيص المتعددة
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

بواسطة Mezo في Ransomware
ترجمة الى:
العربية

تم تصميم برامج الفدية المعروفة باسم Rorschach ، أو BabLock ، لتشفير الملفات واستهداف الشركات الصغيرة والمتوسطة الحجم ، وكذلك المؤسسات الصناعية. عندما يصيب Rorschach نظامًا ، فإنه لا يقوم فقط بتشفير البيانات ولكنه يضيف أيضًا سلسلة عشوائية من الأحرف متبوعة برقم مكون من رقمين في نهاية أسماء الملفات. الغرض من هذا التعديل هو زيادة صعوبة ملاحظة الضحايا أن بياناتهم قد تم قفلها.

يسقط Rorschach أيضًا ملف مذكرة فدية يسمى "_r_e_a_d_m_e.txt" ويغير خلفية سطح المكتب الحالية لزيادة تخويف الضحية. قد تختلف السلسلة الملحقة من الأحرف العشوائية والرقم المكون من رقمين اعتمادًا على المتغير المحدد لبرنامج الفدية.

تصبح البيانات المتأثرة من Rorschach Ransomware غير قابلة للاستخدام

تُعد مذكرة الفدية التي تركها المهاجمون على النظام المصاب بمثابة إشعار يفيد بأن نظامهم قد تعرض للاختراق وأن بياناتهم قد تم تشفيرها وحذف النسخ الاحتياطية الخاصة بهم. قد تشير المذكرة أيضًا إلى أن المعلومات السرية قد سرقها المهاجمون.

عادةً ما تطلب مذكرة الفدية من الضحايا عدم الاتصال بالشرطة أو مكتب التحقيقات الفيدرالي أو السلطات الأخرى حتى يتم دفع الفدية. قد يثني الضحايا أيضًا عن الاتصال بشركات استعادة البيانات ، بدعوى أنهم وسطاء سيتقاضون مبلغًا كبيرًا من المال دون تقديم أي مساعدة.

كما تحذر مذكرة الفدية الضحايا من محاولة فك تشفير الملفات بأنفسهم أو تعديل امتدادات الملفات ، لأن ذلك قد يجعل من المستحيل استعادة البيانات المشفرة. يقدم المهاجمون عنواني بريد إلكتروني للضحايا للاتصال بهم وإرسال بعض الملفات لاختبار فك التشفير - "wvpater@onionmail.org" و "wvpater1@onionmail.org".

تحتوي مذكرة الفدية على تهديد بأنه إذا لم يتم دفع الفدية ، فسيقوم المهاجمون بشن هجوم آخر ضد نظام الضحية وحذف جميع البيانات من شبكاتهم.

يمكن أن تصيب Rorschach Ransomware أنظمة Windows و Linux

يعد Rorschach Ransomware تهديدًا معقدًا مصممًا للانتشار تلقائيًا عند تنفيذه على Windows Domain Controller (DC). بمجرد تنفيذه ، يقوم برنامج الفدية بإنشاء "نهج المجموعة" ، والذي يسمح له بالانتشار إلى الأجهزة الأخرى داخل المجال. تم ربط هذه الميزة سابقًا بنوع آخر من برامج الفدية المعروفة باسم LockBit 2.0.

Rorschach Ransomware مرن للغاية وله حجج اختيارية تمكنه من التكيف مع احتياجات المشغل. كما أن لها وظائف فريدة ، مثل استخدام مكالمات النظام المباشرة باستخدام تعليمات "syscall". تجعل هذه الميزات من الصعب جدًا اكتشافها والدفاع عنها.

بالإضافة إلى ذلك ، يحتوي برنامج الفدية على العديد من الخيارات المضمنة المخفية والمظلمة ، مما يجعل الوصول إليها متاحًا فقط من خلال الهندسة العكسية للبرامج الضارة. قد يكون هذا مخصصًا لراحة المشغلين.

يستخدم Rorschach Ransomware عملية تشفير هجينة تجمع بين خوارزميات تشفير curve25519 و eSTREAM hc-128 لتشفير ملفات الضحية. على عكس برامج الفدية الأخرى ، فإنه يقوم فقط بتشفير جزء معين من محتوى الملف الأصلي ، بدلاً من الملف بأكمله. هذا يجعل عملية التشفير أسرع وأكثر كفاءة.

من المهم ملاحظة أن Rorschach Ransomware يستهدف أنظمة تشغيل Windows و Linux. متغيرات Linux من Rorschach لها أوجه تشابه مع تهديد Babuk Ransomware.

النص الكامل لمذكرة الفدية التي أرسلتها Rorschach Ransomware هو:

معرّف فك التشفير:

مرحبًا ، نظرًا لأنك تقرأ هذا ، فهذا يعني أنك تعرضت للاختراق.
بالإضافة إلى تشفير جميع أنظمتك وحذف النسخ الاحتياطية ، قمنا أيضًا بتنزيل معلوماتك السرية.
إليك ما لا يجب عليك فعله:
1) اتصل بالشرطة أو مكتب التحقيقات الفيدرالي أو السلطات الأخرى قبل انتهاء صفقتنا.
2) اتصل بشركة الاسترداد لإجراء حوارات معنا. (يمكن أن يؤدي ذلك إلى إبطاء التعافي ، وإلغاء اتصالاتنا). لا تذهب إلى شركات الاسترداد ، فهم في الأساس مجرد وسطاء سيكسبون المال منك ويخدعونك. نحن على دراية جيدة بالحالات التي تخبرك فيها شركات الاسترداد بأن سعر الفدية هو 5 ملايين دولار ، لكنهم في الواقع يتفاوضون سراً مع بمليون دولار ، يكسبون منك 4 ملايين دولار. إذا اتصلت بنا مباشرة بدون وسطاء ، فستدفع 5 مرات أقل ، أي مليون دولار.
3) لا تحاول فك تشفير الملفات بنفسك ، وكذلك لا تغير امتداد الملف بنفسك !!! هذا يمكن أن يؤدي إلى استحالة فك التشفير.

إليك ما يجب عليك فعله بعد قراءته مباشرةً:
1) إذا كنت موظفًا عاديًا ، أرسل رسالتنا إلى الرئيس التنفيذي للشركة ، وكذلك إلى قسم تكنولوجيا المعلومات.
2) إذا كنت مديرًا تنفيذيًا ، أو متخصصًا في قسم تكنولوجيا المعلومات ، أو أي شخص آخر له وزن في الشركة ، فيجب عليك الاتصال بنا في غضون 24 ساعة عبر البريد الإلكتروني.

إذا لم تدفع الفدية ، فسنهاجم شركتك مرة أخرى في المستقبل. في غضون أسابيع قليلة ، سنكرر هجومنا ببساطة ونحذف جميع بياناتك من شبكاتك ، مما سيؤدي إلى عدم توفرها!

كضمان يمكننا فك تشفير الملفات ، نقترح عليك إرسال عدة ملفات لفك التشفير مجانًا.
رسائل بريدية للاتصال بنا (اكتب معرف فك التشفير في عنوان رسالتك):
1) wvpater@onionmail.org
2) wvpater1@onionmail.org '

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
15,882
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...