Rorschach Ransomware
Το ransomware γνωστό ως Rorschach ή BabLock, έχει σχεδιαστεί για να κρυπτογραφεί αρχεία και να στοχεύει μικρές έως μεσαίες επιχειρήσεις, καθώς και βιομηχανικούς οργανισμούς. Όταν ο Rorschach μολύνει ένα σύστημα, όχι μόνο κρυπτογραφεί δεδομένα αλλά προσθέτει επίσης μια τυχαία σειρά χαρακτήρων ακολουθούμενη από έναν διψήφιο αριθμό στο τέλος των ονομάτων αρχείων. Ο σκοπός αυτής της τροποποίησης είναι να καταστήσει πιο δύσκολο για τα θύματα να παρατηρήσουν ότι τα δεδομένα τους έχουν κλειδωθεί.
Ο Rorschach ρίχνει επίσης ένα αρχείο σημείωσης λύτρων που ονομάζεται '_r_e_a_d_m_e.txt' και αλλάζει το τρέχον φόντο της επιφάνειας εργασίας για να εκφοβίσει περαιτέρω το θύμα. Η συνημμένη συμβολοσειρά τυχαίων χαρακτήρων και ο διψήφιος αριθμός ενδέχεται να διαφέρουν ανάλογα με τη συγκεκριμένη παραλλαγή του ransomware.
Τα δεδομένα που επηρεάζονται από το Ransomware Rorschach καθίστανται άχρηστα
Το σημείωμα λύτρων που άφησαν οι εισβολείς στο μολυσμένο σύστημα χρησιμεύει ως ειδοποίηση ότι το σύστημά τους έχει παραβιαστεί, τα δεδομένα τους έχουν κρυπτογραφηθεί και τα αντίγραφα ασφαλείας τους έχουν διαγραφεί. Το σημείωμα μπορεί επίσης να αναφέρει ότι οι επιτιθέμενοι έχουν κλαπεί εμπιστευτικές πληροφορίες.
Το σημείωμα για τα λύτρα συνήθως καθοδηγεί τα θύματα να μην επικοινωνήσουν με την αστυνομία, το FBI ή άλλες αρχές μέχρι να γίνει η πληρωμή των λύτρων. Μπορεί επίσης να αποθαρρύνει τα θύματα να επικοινωνήσουν με εταιρείες ανάκτησης δεδομένων, ισχυριζόμενοι ότι είναι μεσάζοντες που θα χρεώσουν ένα μεγάλο χρηματικό ποσό χωρίς να παρέχουν καμία βοήθεια.
Το σημείωμα λύτρων προειδοποιεί επίσης τα θύματα να μην επιχειρήσουν να αποκρυπτογραφήσουν τα ίδια τα αρχεία ή να τροποποιήσουν τις επεκτάσεις αρχείων, καθώς αυτό μπορεί να καταστήσει αδύνατη την ανάκτηση των κρυπτογραφημένων δεδομένων. Οι εισβολείς παρέχουν δύο διευθύνσεις email για τα θύματα να επικοινωνήσουν μαζί τους και να στείλουν μερικά αρχεία για δοκιμαστική αποκρυπτογράφηση - «wvpater@onionmail.org» και «wvpater1@onionmail.org».
Το σημείωμα λύτρων περιέχει μια απειλή ότι εάν δεν πραγματοποιηθεί η πληρωμή λύτρων, οι εισβολείς θα εξαπολύσουν νέα επίθεση κατά του συστήματος του θύματος και θα διαγράψουν όλα τα δεδομένα από τα δίκτυά τους.
Το Ransomware Rorschach μπορεί να μολύνει συστήματα Windows και Linux
Το Rorschach Ransomware είναι μια εξελιγμένη απειλή που έχει σχεδιαστεί για να εξαπλώνεται αυτόματα όταν εκτελείται σε έναν ελεγκτή τομέα των Windows (DC). Μόλις εκτελεστεί, το ransomware δημιουργεί μια πολιτική ομάδας, η οποία του επιτρέπει να εξαπλωθεί σε άλλα μηχανήματα εντός του τομέα. Αυτή η δυνατότητα έχει συσχετιστεί στο παρελθόν με έναν άλλο τύπο ransomware γνωστό ως LockBit 2.0.
Το Rorschach Ransomware είναι εξαιρετικά ευέλικτο και διαθέτει προαιρετικά ορίσματα που του επιτρέπουν να προσαρμοστεί στις ανάγκες του χειριστή. Έχει επίσης μοναδικές λειτουργίες, όπως η χρήση άμεσων κλήσεων συστήματος με χρήση της εντολής "syscall". Αυτά τα χαρακτηριστικά καθιστούν πολύ δύσκολο τον εντοπισμό και την άμυνα έναντι.
Επιπλέον, το ransomware έχει πολλές ενσωματωμένες επιλογές που είναι κρυμμένες και κρυφές, καθιστώντας τις προσβάσιμες μόνο μέσω της αντίστροφης μηχανικής του κακόβουλου λογισμικού. Αυτό μπορεί να προορίζεται για τη διευκόλυνση των χειριστών.
Το Rorschach Ransomware χρησιμοποιεί μια υβριδική διαδικασία κρυπτογράφησης που συνδυάζει τους αλγόριθμους curve25519 και eSTREAM cipher hc-128 για την κρυπτογράφηση των αρχείων του θύματος. Σε αντίθεση με άλλα ransomware, κρυπτογραφεί μόνο ένα ορισμένο μέρος του αρχικού περιεχομένου του αρχείου και όχι ολόκληρο το αρχείο. Αυτό καθιστά τη διαδικασία κρυπτογράφησης ταχύτερη και πιο αποτελεσματική.
Είναι σημαντικό να σημειωθεί ότι το Rorschach Ransomware στοχεύει τόσο τα λειτουργικά συστήματα Windows όσο και Linux. Οι παραλλαγές Linux του Rorschach έχουν ομοιότητες με την απειλή Babuk Ransomware.
Το πλήρες κείμενο του σημειώματος λύτρων που παραδόθηκε από το Rorschach Ransomware είναι:
«Αναγνωριστικό αποκρυπτογράφησης:
Γεια, από τη στιγμή που διαβάζετε αυτό σημαίνει ότι έχετε χακάρει.
Εκτός από την κρυπτογράφηση όλων των συστημάτων σας, τη διαγραφή αντιγράφων ασφαλείας, κατεβάσαμε επίσης τις εμπιστευτικές σας πληροφορίες.
Να τι δεν πρέπει να κάνετε:
1) Επικοινωνήστε με την αστυνομία, το fbi ή άλλες αρχές πριν από τη λήξη της συμφωνίας μας.
2) Επικοινωνήστε με την εταιρεία ανάκτησης ώστε να κάνουν διάλογο μαζί μας. (Αυτό μπορεί να επιβραδύνει την ανάκαμψη και να ακυρώσει την επικοινωνία μας). Μην πηγαίνετε σε εταιρείες ανάκτησης, ουσιαστικά είναι απλώς μεσάζοντες που θα σας βγάλουν χρήματα και θα σας εξαπατήσουν. Γνωρίζουμε καλά περιπτώσεις όπου οι εταιρείες ανάκτησης σας λένε ότι η τιμή λύτρων είναι 5 εκατομμύρια δολάρια, αλλά στην πραγματικότητα διαπραγματεύονται κρυφά με εμάς για 1 εκατομμύριο δολάρια, άρα κερδίζουν 4 εκατομμύρια δολάρια από εσάς. Αν μας προσεγγίζατε απευθείας χωρίς μεσάζοντες θα πληρώνατε 5 φορές λιγότερα, δηλαδή 1 εκατομμύριο δολάρια.
3) Μην προσπαθήσετε να αποκρυπτογραφήσετε τα αρχεία μόνοι σας, καθώς και μην αλλάξετε μόνοι σας την επέκταση αρχείου !!! Αυτό μπορεί να οδηγήσει στην αδυναμία της αποκρυπτογράφησης τους.Δείτε τι πρέπει να κάνετε αμέσως αφού το διαβάσετε:
1) Αν είστε απλός υπάλληλος, στείλτε το μήνυμά μας στον Διευθύνοντα Σύμβουλο της εταιρείας, καθώς και στο τμήμα Πληροφορικής.
2) Εάν είστε Διευθύνων Σύμβουλος, ή ειδικός στο τμήμα Πληροφορικής, ή άλλο άτομο που έχει βάρος στην εταιρεία, θα πρέπει να επικοινωνήσετε μαζί μας εντός 24 ωρών μέσω email.Εάν δεν πληρώσετε τα λύτρα, θα επιτεθούμε ξανά στην εταιρεία σας στο μέλλον. Σε λίγες εβδομάδες, απλώς θα επαναλάβουμε την επίθεσή μας και θα διαγράψουμε όλα τα δεδομένα σας από τα δίκτυά σας, ΠΟΥ ΘΑ ΟΔΗΓΗΣΕΙ ΣΤΗ ΜΗ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΤΟΥΣ!
Ως εγγύηση ότι μπορούμε να αποκρυπτογραφήσουμε τα αρχεία, σας προτείνουμε να στείλετε πολλά αρχεία για δωρεάν αποκρυπτογράφηση.
Email για επικοινωνία μαζί μας (Γράψτε το αναγνωριστικό αποκρυπτογράφησης στον τίτλο του μηνύματός σας):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'
