Rorschach Ransomware

El ransomware conegut com Rorschach, o BabLock, està dissenyat per xifrar fitxers i orientar-se a petites i mitjanes empreses, així com a organitzacions industrials. Quan Rorschach infecta un sistema, no només xifra les dades, sinó que també afegeix una cadena aleatòria de caràcters seguida d'un número de dos dígits al final dels noms de fitxer. L'objectiu d'aquesta modificació és dificultar que les víctimes notin que les seves dades s'han bloquejat.

Rorschach també deixa caure un fitxer de notes de rescat anomenat "_r_e_a_d_m_e.txt" i canvia el fons de l'escriptori actual per intimidar encara més la víctima. La cadena afegida de caràcters aleatoris i el nombre de dos dígits poden variar en funció de la variant concreta del ransomware.

Les dades afectades pel ransomware de Rorschach es tornen inutilitzables

La nota de rescat que han deixat els atacants al sistema infectat serveix com a notificació que el seu sistema ha estat compromès, les seves dades s'han xifrat i les seves còpies de seguretat s'han suprimit. La nota també pot esmentar que la informació confidencial ha estat robada pels atacants.

La nota de rescat normalment indica a les víctimes que no es posin en contacte amb la policia, l'FBI o altres autoritats fins que s'hagi fet el pagament del rescat. També pot dissuadir les víctimes de contactar amb empreses de recuperació de dades, al·legant que són intermediaris que cobraran una gran quantitat de diners sense oferir cap assistència.

La nota de rescat també adverteix a les víctimes que no intentin desxifrar els fitxers ni modificar les extensions dels fitxers, ja que això pot impedir la recuperació de les dades xifrades. Els atacants proporcionen dues adreces de correu electrònic perquè les víctimes es posin en contacte amb elles i enviïn uns quants fitxers per al desxifrat de prova: "wvpater@onionmail.org" i "wvpater1@onionmail.org".

La nota de rescat conté una amenaça que si no es fa el pagament del rescat, els atacants llançaran un altre atac contra el sistema de la víctima i suprimiran totes les dades de les seves xarxes.

El Rorschach Ransomware pot infectar sistemes Windows i Linux

El Rorschach Ransomware és una amenaça sofisticada que està dissenyada per propagar-se automàticament quan s'executa en un controlador de domini (DC) de Windows. Un cop executat, el ransomware crea una política de grup, que li permet estendre's a altres màquines del domini. Aquesta característica s'ha associat prèviament amb un altre tipus de ransomware conegut com LockBit 2.0.

El Rorschach Ransomware és molt flexible i té arguments opcionals que li permeten adaptar-se a les necessitats de l'operador. També té funcions úniques, com ara l'ús de trucades directes al sistema mitjançant la instrucció "syscall". Aquestes característiques fan que sigui molt difícil de detectar i defensar-ne.

A més, el ransomware té diverses opcions integrades que estan ocultes i enfosquides, cosa que els fa accessibles només mitjançant l'enginyeria inversa del programari maliciós. Això pot ser pensat per a la comoditat dels operadors.

El Rorschach Ransomware utilitza un procés de criptografia híbrida que combina els algorismes curve25519 i eSTREAM xifrat hc-128 per xifrar els fitxers de la víctima. A diferència d'altres programari ransomware, només xifra una part determinada del contingut del fitxer original, en lloc de tot el fitxer. Això fa que el procés de xifratge sigui més ràpid i eficient.

És important tenir en compte que el Rorschach Ransomware es dirigeix als sistemes operatius Windows i Linux. Les variants de Linux de Rorschach tenen similituds amb l'amenaça Babuk Ransomware.

El text complet de la nota de rescat lliurada per Rorschach Ransomware és:

"ID de desxifrat:

Hola, com que estàs llegint això vol dir que t'han piratejat.
A més d'encriptar tots els vostres sistemes, suprimir còpies de seguretat, també hem baixat la vostra informació confidencial.
Això és el que no hauríeu de fer:
1) Poseu-vos en contacte amb la policia, el FBI o altres autoritats abans del final del nostre acord.
2) Poseu-vos en contacte amb l'empresa de recuperació perquè mantinguin diàlegs amb nosaltres. (Això pot frenar la recuperació i deixar en res la nostra comunicació). No aneu a empreses de recuperació, són essencialment només intermediaris que us faran diners i us enganyaran. Som molt conscients de casos en què les empreses de recuperació us diuen que el preu del rescat és de 5 milions de dòlars, però de fet negocien en secret amb ens per 1 milió de dòlars, així que guanyen 4 milions de dòlars de tu. Si us acostessiu directament a nosaltres sense intermediaris pagaríeu 5 vegades menys, és a dir, 1 milió de dòlars.
3) No intenteu desxifrar els fitxers vosaltres mateixos, ni canvieu l'extensió del fitxer vosaltres mateixos !!! Això pot comportar la impossibilitat del seu desxifrat.

Això és el que hauríeu de fer just després de llegir-lo:
1) Si sou un empleat normal, envieu el nostre missatge al director general de l'empresa, així com al departament informàtic.
2) Si ets CEO, o especialista en el departament d'informàtica, o una altra persona que tingui pes a l'empresa, has de contactar amb nosaltres en un termini de 24 hores per correu electrònic.

Si no pagueu el rescat, tornarem a atacar la vostra empresa en el futur. D'aquí a unes setmanes, simplement repetirem el nostre atac i esborrarem totes les vostres dades de les vostres xarxes, cosa que donarà lloc a la seva indisponibilitat!

Com a garantia que podem desxifrar els fitxers, us suggerim que envieu diversos fitxers per al desxifrat gratuït.
Correus per contactar amb nosaltres (Escriu l'identificador de desxifrat al títol del teu missatge):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org"