Multilicenční slevy
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

V roce Mezo v roce Ransomware
Přeložit do:
Čeština

Ransomware známý jako Rorschach nebo BabLock je navržen tak, aby šifroval soubory a zaměřoval se na malé a střední podniky a také průmyslové organizace. Když Rorschach infikuje systém, nejen zašifruje data, ale také přidá náhodný řetězec znaků následovaný dvoumístným číslem na konci názvů souborů. Účelem této úpravy je ztížit obětem zjištění, že jejich data byla uzamčena.

Rorschach také zahodí soubor s poznámkou o výkupném s názvem '_r_e_a_d_m_e.txt' a změní aktuální pozadí plochy, aby oběť ještě více zastrašil. Připojený řetězec náhodných znaků a dvoumístné číslo se mohou lišit v závislosti na konkrétní variantě ransomwaru.

Data ovlivněná Rorschachovým ransomwarem se stávají nepoužitelnými

Výkupné zanechané útočníky na infikovaném systému slouží jako upozornění, že jejich systém byl kompromitován, jejich data byla zašifrována a jejich zálohy byly smazány. Poznámka může také zmiňovat, že důvěrné informace byly odcizeny útočníky.

Výkupné obvykle instruuje oběti, aby nekontaktovaly policii, FBI ani jiné úřady, dokud nebude zaplaceno výkupné. Může to také odradit oběti od kontaktování společností pro obnovu dat s tvrzením, že jde o zprostředkovatele, kteří si budou účtovat velké množství peněz, aniž by poskytli jakoukoli pomoc.

Výkupné také varuje oběti, aby se nepokoušely dešifrovat samotné soubory nebo upravovat přípony souborů, protože to může znemožnit obnovení zašifrovaných dat. Útočníci poskytnou obětem dvě e-mailové adresy, aby je kontaktovaly a poslaly několik souborů ke zkušebnímu dešifrování – 'wvpater@onionmail.org' a 'wvpater1@onionmail.org.'

Výkupné obsahuje hrozbu, že pokud nebude výkupné zaplaceno, útočníci zahájí další útok proti systému oběti a vymažou všechna data ze svých sítí.

Rorschachův ransomware může infikovat systémy Windows a Linux

Rorschach Ransomware je sofistikovaná hrozba, která je navržena tak, aby se automaticky šířila při spuštění na Windows Domain Controller (DC). Jakmile je ransomware spuštěn, vytvoří zásady skupiny, které mu umožní rozšířit se na další počítače v doméně. Tato funkce byla dříve spojena s jiným typem ransomwaru známým jako LockBit 2.0.

Rorschach Ransomware je vysoce flexibilní a má volitelné argumenty, které mu umožňují přizpůsobit se potřebám operátora. Má také jedinečné funkce, jako je použití přímých systémových volání pomocí instrukce „syscall“. Tyto vlastnosti velmi znesnadňují odhalení a obranu proti nim.

Kromě toho má ransomware několik vestavěných možností, které jsou skryté a zakryté, takže jsou přístupné pouze prostřednictvím zpětného inženýrství malwaru. To může být určeno pro pohodlí operátorů.

Rorschach Ransomware používá hybridní kryptografický proces, který kombinuje algoritmy curve25519 a eSTREAM šifrovací hc-128 k šifrování souborů oběti. Na rozdíl od jiného ransomwaru šifruje pouze určitou část obsahu původního souboru, nikoli celý soubor. Díky tomu je proces šifrování rychlejší a efektivnější.

Je důležité poznamenat, že Rorschach Ransomware se zaměřuje na operační systémy Windows i Linux. Linuxové varianty Rorschacha mají podobnosti s hrozbou Babuk Ransomware.

Úplný text výkupného doručeného Rorschach Ransomware je:

'ID dešifrování:

Ahoj, když to čteš, znamená to, že jsi byl hacknut.
Kromě šifrování všech vašich systémů, mazání záloh jsme také stáhli vaše důvěrné informace.
Zde je to, co byste neměli dělat:
1) Kontaktujte policii, fbi nebo jiné úřady před koncem našeho obchodu.
2) Kontaktujte vymáhací společnost, aby s námi vedla dialog. (To může zpomalit obnovu a zničit naši komunikaci). Nechoďte za vymáhacími společnostmi, jsou to v podstatě jen prostředníci, kteří na vás vydělají peníze a podvedou vás. Dobře víme o případech, kdy vám vymáhací společnosti říkají, že výkupné je 5 milionů dolarů, ale ve skutečnosti s nimi tajně vyjednávají. nás za 1 milion dolarů, takže od vás vydělají 4 miliony dolarů. Pokud byste nás oslovili přímo bez zprostředkovatelů, zaplatili byste 5krát méně, tedy 1 milion dolarů.
3) Nepokoušejte se dešifrovat soubory sami, stejně jako sami neměňte příponu souboru !!! To může vést k nemožnosti jejich dešifrování.

Zde je to, co byste měli udělat hned po přečtení:
1) Pokud jste řadový zaměstnanec, pošlete naši zprávu generálnímu řediteli společnosti a také IT oddělení.
2) Pokud jste CEO, nebo specialista v IT oddělení, nebo jiná osoba, která má ve společnosti váhu, měli byste nás kontaktovat do 24 hodin emailem.

Pokud nezaplatíte výkupné, zaútočíme na vaši společnost v budoucnu znovu. Za několik týdnů náš útok jednoduše zopakujeme a smažeme všechna vaše data z vašich sítí, COŽ VEDE K JEJICH NEDOSTUPNOSTI!

Jako záruku, že můžeme soubory dešifrovat, vám doporučujeme poslat několik souborů k bezplatnému dešifrování.
E-maily, abyste nás kontaktovali (Do názvu zprávy napište ID dešifrování):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...