Rorschach Ransomware

Rorschach, বা BabLock নামে পরিচিত র্যানসমওয়্যারটি ফাইলগুলিকে এনক্রিপ্ট করার জন্য এবং ছোট থেকে মাঝারি আকারের ব্যবসার পাশাপাশি শিল্প সংস্থাগুলিকে লক্ষ্য করার জন্য ডিজাইন করা হয়েছে৷ যখন Rorschach একটি সিস্টেমকে সংক্রামিত করে, তখন এটি শুধুমাত্র ডেটা এনক্রিপ্ট করে না বরং ফাইলের নামের শেষে একটি দুই-অঙ্কের সংখ্যা অনুসরণ করে অক্ষরের একটি র্যান্ডম স্ট্রিং যোগ করে। এই পরিবর্তনের উদ্দেশ্য হল ক্ষতিগ্রস্থদের জন্য তাদের ডেটা লক করা হয়েছে তা লক্ষ্য করা আরও কঠিন করা।

Rorschach '_r_e_a_d_m_e.txt' নামে একটি মুক্তিপণ নোট ফাইলও ফেলে দেয় এবং শিকারকে আরও ভয় দেখানোর জন্য বর্তমান ডেস্কটপ পটভূমি পরিবর্তন করে। র‍্যান্ডম অক্ষরের সংযোজিত স্ট্রিং এবং দুই-সংখ্যার সংখ্যা র্যানসমওয়্যারের নির্দিষ্ট রূপের উপর নির্ভর করে পরিবর্তিত হতে পারে।

Rorschach Ransomware দ্বারা প্রভাবিত ডেটা অব্যবহারযোগ্য হয়ে পড়ে

সংক্রামিত সিস্টেমে আক্রমণকারীদের রেখে যাওয়া মুক্তিপণ নোটটি একটি বিজ্ঞপ্তি হিসাবে কাজ করে যে তাদের সিস্টেমের সাথে আপস করা হয়েছে, তাদের ডেটা এনক্রিপ্ট করা হয়েছে এবং তাদের ব্যাকআপগুলি মুছে ফেলা হয়েছে। নোটটিতে আরও উল্লেখ করা যেতে পারে যে আক্রমণকারীরা গোপন তথ্য চুরি করেছে।

মুক্তিপণের নোটটি সাধারণত ভুক্তভোগীদের মুক্তিপণ পরিশোধ না করা পর্যন্ত পুলিশ, এফবিআই বা অন্যান্য কর্তৃপক্ষের সাথে যোগাযোগ না করার নির্দেশ দেয়। এটি ভুক্তভোগীদের তথ্য পুনরুদ্ধার সংস্থাগুলির সাথে যোগাযোগ করতে নিরুৎসাহিত করতে পারে, এই দাবি করে যে তারা মধ্যস্থতাকারী যারা কোনও সহায়তা না দিয়েই প্রচুর পরিমাণে অর্থ চার্জ করবে৷

মুক্তিপণ নোটটি ক্ষতিগ্রস্থদেরকে সতর্ক করে যে তারা নিজেরাই ফাইলগুলি ডিক্রিপ্ট করার চেষ্টা করবেন না বা ফাইল এক্সটেনশনগুলি সংশোধন করবেন না, কারণ এটি এনক্রিপ্ট করা ডেটা পুনরুদ্ধার করা অসম্ভব করে তুলতে পারে। আক্রমণকারীরা ভিকটিমদের তাদের সাথে যোগাযোগ করার জন্য দুটি ইমেল ঠিকানা দেয় এবং পরীক্ষার ডিক্রিপশনের জন্য কয়েকটি ফাইল পাঠায় - 'wvpater@onionmail.org' এবং 'wvpater1@onionmail.org।'

মুক্তিপণের নোটটিতে একটি হুমকি রয়েছে যে যদি মুক্তিপণ প্রদান করা না হয়, আক্রমণকারীরা ভিকটিমদের সিস্টেমের বিরুদ্ধে আরেকটি আক্রমণ শুরু করবে এবং তাদের নেটওয়ার্ক থেকে সমস্ত ডেটা মুছে ফেলবে।

Rorschach Ransomware Windows এবং Linux সিস্টেমকে সংক্রমিত করতে পারে

Rorschach Ransomware হল একটি অত্যাধুনিক হুমকি যা একটি Windows ডোমেন কন্ট্রোলার (DC) এ চালানো হলে স্বয়ংক্রিয়ভাবে ছড়িয়ে পড়ার জন্য ডিজাইন করা হয়েছে। একবার কার্যকর করা হলে, র্যানসমওয়্যার একটি গ্রুপ নীতি তৈরি করে, যা এটিকে ডোমেনের মধ্যে থাকা অন্যান্য মেশিনে ছড়িয়ে দেওয়ার অনুমতি দেয়। এই বৈশিষ্ট্যটি পূর্বে লকবিট 2.0 নামে পরিচিত অন্য ধরণের র্যানসমওয়্যারের সাথে যুক্ত ছিল।

Rorschach Ransomware অত্যন্ত নমনীয় এবং এতে ঐচ্ছিক যুক্তি রয়েছে যা এটিকে অপারেটরের প্রয়োজনের সাথে খাপ খাইয়ে নিতে সক্ষম করে। এটির অনন্য ফাংশনও রয়েছে, যেমন "syscall" নির্দেশ ব্যবহার করে সরাসরি সিস্টেম কলের ব্যবহার। এই বৈশিষ্ট্যগুলি সনাক্ত করা এবং এর বিরুদ্ধে রক্ষা করা খুব কঠিন করে তোলে।

উপরন্তু, র‍্যানসমওয়্যারে বেশ কিছু অন্তর্নির্মিত বিকল্প রয়েছে যা লুকানো এবং অস্পষ্ট করা হয়, যা শুধুমাত্র ম্যালওয়্যারকে রিভার্স-ইঞ্জিনিয়ারিংয়ের মাধ্যমে অ্যাক্সেসযোগ্য করে তোলে। এটি অপারেটরদের সুবিধার জন্য উদ্দেশ্যে করা যেতে পারে।

Rorschach Ransomware একটি হাইব্রিড ক্রিপ্টোগ্রাফি প্রক্রিয়া ব্যবহার করে যা শিকারের ফাইল এনক্রিপ্ট করতে curve25519 এবং eSTREAM সাইফার hc-128 অ্যালগরিদমকে একত্রিত করে। অন্যান্য র্যানসমওয়্যার থেকে ভিন্ন, এটি সম্পূর্ণ ফাইলের পরিবর্তে মূল ফাইল সামগ্রীর একটি নির্দিষ্ট অংশ এনক্রিপ্ট করে। এটি এনক্রিপশন প্রক্রিয়াটিকে দ্রুত এবং আরও দক্ষ করে তোলে।

এটি লক্ষ করা গুরুত্বপূর্ণ যে Rorschach Ransomware উইন্ডোজ এবং লিনাক্স উভয় অপারেটিং সিস্টেমকে লক্ষ্য করে। Rorschach এর Linux ভেরিয়েন্টের সাথে Babuk Ransomware হুমকির মিল রয়েছে।

Rorschach Ransomware দ্বারা বিতরণ করা মুক্তিপণ নোটের সম্পূর্ণ পাঠ্য হল:

'ডিক্রিপশন আইডি:

হাই, যেহেতু আপনি এটি পড়ছেন তার মানে আপনি হ্যাক হয়েছেন।
আপনার সমস্ত সিস্টেম এনক্রিপ্ট করা, ব্যাকআপ মুছে ফেলার পাশাপাশি, আমরা আপনার গোপনীয় তথ্যও ডাউনলোড করেছি।
আপনার যা করা উচিত নয় তা এখানে:
1) আমাদের চুক্তি শেষ হওয়ার আগে পুলিশ, এফবিআই বা অন্যান্য কর্তৃপক্ষের সাথে যোগাযোগ করুন।
2) পুনরুদ্ধার কোম্পানির সাথে যোগাযোগ করুন যাতে তারা আমাদের সাথে কথোপকথন পরিচালনা করতে পারে। (এটি পুনরুদ্ধারকে ধীর করে দিতে পারে এবং আমাদের যোগাযোগকে নষ্ট করে দিতে পারে)। পুনরুদ্ধার সংস্থাগুলিতে যাবেন না, তারা মূলত কেবল মধ্যস্থতাকারী যারা আপনার কাছ থেকে অর্থ উপার্জন করবে এবং আপনাকে প্রতারণা করবে৷ আমরা এমন ঘটনাগুলি সম্পর্কে ভালভাবে অবগত আছি যেখানে পুনরুদ্ধার সংস্থাগুলি আপনাকে বলে যে মুক্তিপণের মূল্য 5 মিলিয়ন ডলার, কিন্তু প্রকৃতপক্ষে তারা গোপনে তাদের সাথে আলোচনা করে আমাদের জন্য 1 মিলিয়ন ডলার, তাই তারা আপনার কাছ থেকে 4 মিলিয়ন ডলার উপার্জন করে। আপনি যদি মধ্যস্থতাকারী ছাড়া সরাসরি আমাদের সাথে যোগাযোগ করেন তাহলে আপনি 5 গুণ কম অর্থ প্রদান করবেন, অর্থাৎ 1 মিলিয়ন ডলার।
3) ফাইলগুলি নিজে ডিক্রিপ্ট করার চেষ্টা করবেন না, পাশাপাশি ফাইল এক্সটেনশন নিজে পরিবর্তন করবেন না !!! এটি তাদের ডিক্রিপশনের অসম্ভবতার দিকে নিয়ে যেতে পারে।

এটি পড়ার পরে আপনার যা করা উচিত তা এখানে:
1) আপনি যদি একজন সাধারণ কর্মচারী হন তবে আমাদের বার্তাটি কোম্পানির সিইও, সেইসাথে আইটি বিভাগে পাঠান।
2) আপনি যদি একজন সিইও হন, বা আইটি বিভাগের একজন বিশেষজ্ঞ, বা কোম্পানিতে ওজন রাখেন এমন অন্য ব্যক্তি, আপনার ইমেলের মাধ্যমে 24 ঘন্টার মধ্যে আমাদের সাথে যোগাযোগ করা উচিত।

আপনি যদি মুক্তিপণ পরিশোধ না করেন, তাহলে আমরা ভবিষ্যতে আপনার কোম্পানিকে আবার আক্রমণ করব৷ কয়েক সপ্তাহের মধ্যে, আমরা কেবল আমাদের আক্রমণের পুনরাবৃত্তি করব এবং আপনার নেটওয়ার্কগুলি থেকে আপনার সমস্ত ডেটা মুছে ফেলব, যা তাদের অনুপলব্ধতার দিকে নিয়ে যাবে!

একটি গ্যারান্টি হিসাবে যে আমরা ফাইলগুলিকে ডিক্রিপ্ট করতে পারি, আমরা আপনাকে বিনামূল্যে ডিক্রিপশনের জন্য বেশ কয়েকটি ফাইল পাঠাতে পরামর্শ দিই৷
আমাদের সাথে যোগাযোগ করার মেইল (আপনার বার্তার শিরোনামে ডিক্রিপশন আইডি লিখুন):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'