Multi-licens rabatter
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

Med Mezo i Ransomware
Oversæt til:
Dansk

Ransomware kendt som Rorschach, eller BabLock, er designet til at kryptere filer og målrette mod små og mellemstore virksomheder såvel som industrielle organisationer. Når Rorschach inficerer et system, krypterer det ikke kun data, men tilføjer også en tilfældig streng af tegn efterfulgt af et tocifret tal i slutningen af filnavne. Formålet med denne ændring er at gøre det sværere for ofre at bemærke, at deres data er blevet låst.

Rorschach slipper også en løsesumseddel kaldet '_r_e_a_d_m_e.txt' og ændrer den aktuelle skrivebordsbaggrund for yderligere at skræmme offeret. Den vedhæftede streng af tilfældige tegn og det tocifrede tal kan variere afhængigt af den særlige variant af ransomwaren.

De data, der påvirkes af Rorschach Ransomware, bliver ubrugelige

Løsesedlen efterladt af angriberne på det inficerede system tjener som en meddelelse om, at deres system er blevet kompromitteret, deres data er blevet krypteret, og deres sikkerhedskopier er blevet slettet. Notatet kan også nævne, at fortrolige oplysninger er blevet stjålet af angriberne.

Løsesedlen instruerer typisk ofre i ikke at kontakte politiet, FBI eller andre myndigheder, før løsesummen er betalt. Det kan også afskrække ofre fra at kontakte datagendannelsesfirmaer og hævde, at de er mellemmænd, der vil opkræve et stort beløb uden at yde nogen hjælp.

Løsesedlen advarer også ofre om ikke at forsøge at dekryptere filerne selv eller ændre filtypenavnene, da dette kan gøre det umuligt at gendanne de krypterede data. Angriberne angiver to e-mailadresser, som ofrene kan kontakte dem og sende nogle få filer til testdekryptering - 'wvpater@onionmail.org' og 'wvpater1@onionmail.org'.

Løsesedlen indeholder en trussel om, at hvis løsesumsbetalingen ikke foretages, vil angriberne iværksætte endnu et angreb mod offerets system og slette alle data fra deres netværk.

Rorschach Ransomware kan inficere Windows- og Linux-systemer

Rorschach Ransomware er en sofistikeret trussel, der er designet til at spredes automatisk, når den udføres på en Windows Domain Controller (DC). Når den er udført, opretter ransomwaren en gruppepolitik, som tillader den at sprede sig til andre maskiner inden for domænet. Denne funktion har tidligere været forbundet med en anden type ransomware kendt som LockBit 2.0.

Rorschach Ransomware er meget fleksibel og har valgfrie argumenter, der gør det muligt at tilpasse sig operatørens behov. Det har også unikke funktioner, såsom brugen af direkte systemkald ved hjælp af "syscall"-instruktionen. Disse funktioner gør det meget vanskeligt at opdage og forsvare sig imod.

Derudover har ransomware adskillige indbyggede muligheder, der er skjult og skjult, hvilket gør dem kun tilgængelige gennem reverse-engineering af malware. Dette kan være beregnet til operatørernes bekvemmelighed.

Rorschach Ransomware bruger en hybrid kryptografiproces, der kombinerer curve25519 og eSTREAM chiffer hc-128 algoritmerne for at kryptere ofrets filer. I modsætning til anden ransomware krypterer den kun en bestemt del af det originale filindhold i stedet for hele filen. Dette gør krypteringsprocessen hurtigere og mere effektiv.

Det er vigtigt at bemærke, at Rorschach Ransomware er rettet mod både Windows- og Linux-operativsystemer. Linux-varianterne af Rorschach har ligheder med Babuk Ransomware-truslen.

Den fulde tekst af løsesumsedlen leveret af Rorschach Ransomware er:

'Dekrypterings-id:

Hej, siden du læser dette betyder det, at du er blevet hacket.
Udover at kryptere alle dine systemer, slette sikkerhedskopier, downloadede vi også dine fortrolige oplysninger.
Her er, hvad du ikke bør gøre:
1) Kontakt politiet, fbi eller andre myndigheder inden udløbet af vores aftale.
2) Kontakt inddrivelsesfirmaet, så de ville føre dialoger med os. (Dette kan bremse opsvinget og gøre vores kommunikation til intet). Gå ikke til inddrivelsesfirmaer, de er i bund og grund kun mellemmænd, der vil tjene penge på dig og snyde dig. Vi kender godt til tilfælde, hvor genopretningsvirksomheder fortæller dig, at løsesummen er 5 millioner dollars, men faktisk forhandler de i al hemmelighed med os for 1 million dollars, så de tjener 4 millioner dollars på dig. Hvis du kontaktede os direkte uden mellemmænd, ville du betale 5 gange mindre, det vil sige 1 million dollars.
3) Forsøg ikke selv at dekryptere filerne, samt skift ikke selv filtypenavnet !!! Dette kan føre til umuligheden af deres dekryptering.

Her er, hvad du skal gøre lige efter at have læst det:
1) Er du ordinær medarbejder, så send vores besked til den administrerende direktør i virksomheden, samt til IT-afdelingen.
2) Hvis du er administrerende direktør, eller specialist i IT-afdelingen, eller en anden person, der har vægt i virksomheden, skal du kontakte os inden for 24 timer på mail.

Hvis du ikke betaler løsesummen, vil vi angribe din virksomhed igen i fremtiden. Om et par uger vil vi blot gentage vores angreb og slette alle dine data fra dine netværk, SOM VIL FØRE TIL DERES UTILGÆNGELIGHED!

Som en garanti for, at vi kan dekryptere filerne, foreslår vi, at du sender flere filer til gratis dekryptering.
Mails til at kontakte os (Skriv dekrypterings-id'et i titlen på din besked):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'

Trending

Mest sete

Indlæser...