Rorschach Ransomware

Рансъмуерът, известен като Rorschach или BabLock, е предназначен да криптира файлове и да е насочен към малки и средни предприятия, както и индустриални организации. Когато Роршах зарази система, той не само криптира данни, но и добавя произволен низ от знаци, последван от двуцифрено число в края на имената на файловете. Целта на тази модификация е да затрудни жертвите да забележат, че данните им са заключени.

Роршах също пуска файл с бележка за откуп, наречен „_r_e_a_d_m_e.txt“ и променя текущия фон на работния плот, за да сплаши допълнително жертвата. Добавеният низ от произволни знаци и двуцифреното число може да варира в зависимост от конкретния вариант на рансъмуера.

Данните, засегнати от рансъмуера Rorschach, стават неизползваеми

Бележката за откуп, оставена от нападателите в заразената система, служи като известие, че системата им е била компрометирана, данните им са криптирани и архивите им са изтрити. Бележката може също да споменава, че поверителна информация е била открадната от нападателите.

Бележката за откуп обикновено инструктира жертвите да не се свързват с полицията, ФБР или други власти, докато откупът не бъде изплатен. Това може също да обезсърчи жертвите да се свържат с компании за възстановяване на данни, твърдейки, че те са посредници, които ще таксуват голяма сума пари, без да предоставят никаква помощ.

Бележката за откуп също предупреждава жертвите да не се опитват да дешифрират самите файлове или да променят файловите разширения, тъй като това може да направи невъзможно възстановяването на криптираните данни. Нападателите предоставят два имейл адреса на жертвите, за да се свържат с тях и да изпратят няколко файла за тестово декриптиране - „wvpater@onionmail.org“ и „wvpater1@onionmail.org“.

Бележката за откуп съдържа заплаха, че ако плащането на откупа не бъде направено, нападателите ще предприемат нова атака срещу системата на жертвата и ще изтрият всички данни от техните мрежи.

Ransomware Rorschach може да зарази Windows и Linux системи

Ransomware Rorschach е сложна заплаха, която е проектирана да се разпространява автоматично, когато се изпълни на Windows Domain Controller (DC). Веднъж изпълнен, рансъмуерът създава групова политика, която му позволява да се разпространи към други машини в домейна. Тази функция преди това е била свързвана с друг тип ransomware, известен като LockBit 2.0.

Ransomware Rorschach е изключително гъвкав и има незадължителни аргументи, които му позволяват да се адаптира към нуждите на оператора. Той също така има уникални функции, като например използването на директни системни повиквания с помощта на инструкцията "syscall". Тези характеристики го правят много трудно за откриване и защита срещу него.

Освен това рансъмуерът има няколко вградени опции, които са скрити и затъмнени, което ги прави достъпни само чрез обратно инженерство на злонамерения софтуер. Това може да е предназначено за удобство на операторите.

Ransomware Rorschach използва хибриден криптографски процес, който съчетава алгоритмите curve25519 и eSTREAM cipher hc-128, за да криптира файловете на жертвата. За разлика от друг ransomware, той криптира само определена част от съдържанието на оригиналния файл, а не целия файл. Това прави процеса на криптиране по-бърз и по-ефективен.

Важно е да се отбележи, че рансъмуерът Rorschach е насочен към операционни системи Windows и Linux. Linux вариантите на Rorschach имат прилики със заплахата Babuk Ransomware.

Пълният текст на бележката за откуп, доставена от Rorschach Ransomware, е:

„ИД на дешифриране:

Здравейте, тъй като четете това, това означава, че сте били хакнати.
В допълнение към криптирането на всички ваши системи, изтриването на резервни копия, ние също изтеглихме вашата поверителна информация.
Ето какво не трябва да правите:
1) Свържете се с полицията, ФБР или други органи преди края на нашата сделка.
2) Свържете се с фирмата за възстановяване, за да водят диалог с нас. (Това може да забави възстановяването и да доведе до нула комуникацията ни). Не се обръщайте към компаниите за възстановяване, те по същество са само посредници, които ще спечелят пари от вас и ще ви измамят. Ние сме добре запознати със случаи, в които компаниите за възстановяване ви казват, че цената на откупа е 5 милиона долара, но всъщност те тайно преговарят с нас за 1 милион долара, така че те печелят 4 милиона долара от вас. Ако се свържете директно с нас без посредници, ще платите 5 пъти по-малко, тоест 1 милион долара.
3) Не се опитвайте сами да дешифрирате файловете, както и не променяйте сами файловото разширение !!! Това може да доведе до невъзможност за тяхното дешифриране.

Ето какво трябва да направите веднага след като го прочетете:
1) Ако сте обикновен служител, изпратете нашето съобщение до изпълнителния директор на компанията, както и до ИТ отдела.
2) Ако сте изпълнителен директор, или специалист в IT отдела, или друго лице, което има тежест в компанията, трябва да се свържете с нас в рамките на 24 часа по имейл.

Ако не платите откупа, ние ще атакуваме вашата компания отново в бъдеще. След няколко седмици ние просто ще повторим нашата атака и ще изтрием всичките ви данни от вашите мрежи, КОЕТО ЩЕ ДОВЕДЕ ДО ТЯХНАТА НЕДОСТЪПНОСТ!

Като гаранция, че можем да дешифрираме файловете, ви предлагаме да изпратите няколко файла за безплатно дешифриране.
Поща за връзка с нас (напишете ID за декриптиране в заглавието на вашето съобщение):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'