Rorschach Ransomware

Rorschachi või BabLocki nime all tuntud lunavara on loodud failide krüpteerimiseks ja väikeste ja keskmise suurusega ettevõtete ning tööstusorganisatsioonide sihtimiseks. Kui Rorschach nakatab süsteemi, siis see mitte ainult ei krüpti andmeid, vaid lisab ka juhusliku tähemärkide jada, millele järgneb failinimede lõppu kahekohaline number. Selle muudatuse eesmärk on muuta ohvrite jaoks raskemaks märgata, et nende andmed on lukustatud.

Rorschach jätab maha ka lunarahateate faili nimega '_r_e_a_d_m_e.txt' ja muudab praegust töölaua tausta, et ohvrit veelgi hirmutada. Lisatud juhuslike märkide jada ja kahekohaline number võivad olenevalt lunavara konkreetsest variandist erineda.

Rorschachi lunavara mõjutatud andmed muutuvad kasutuskõlbmatuks

Ründajate poolt nakatunud süsteemi jäetud lunaraha teatis, et nende süsteemi on rikutud, nende andmed on krüpteeritud ja nende varukoopiad on kustutatud. Märkuses võib mainida ka seda, et ründajad on varastanud konfidentsiaalset teavet.

Lunarahakirjas antakse tavaliselt ohvritele korraldus mitte pöörduda politsei, FBI või muude ametiasutuste poole enne, kui lunaraha on tasutud. See võib ka heidutada ohvreid võtmast ühendust andmete taastamise ettevõtetega, väites, et tegemist on vahendajatega, kes võtavad abi osutamata suure summa raha.

Lunarahakiri hoiatab ka ohvreid, et nad ei üritaks faile ise dekrüpteerida ega faililaiendeid muuta, kuna see võib muuta krüptitud andmete taastamise võimatuks. Ründajad annavad ohvritele kaks e-posti aadressi, et nendega ühendust võtta, ja saata mõned failid testdekrüpteerimiseks – "wvpater@onionmail.org" ja "wvpater1@onionmail.org".

Lunarahalehel on kirjas ähvardus, et kui lunaraha tasumata jäetakse, käivitavad ründajad uue rünnaku ohvri süsteemi vastu ja kustutavad kõik andmed oma võrkudest.

Rorschachi lunavara võib nakatada Windowsi ja Linuxi süsteeme

Rorschachi lunavara on keerukas oht, mis on loodud Windowsi domeenikontrolleris (DC) käivitamisel automaatselt levima. Pärast käivitamist loob lunavara rühmapoliitika, mis võimaldab sellel domeenis teistele masinatele levida. Seda funktsiooni on varem seostatud teist tüüpi lunavaraga, mida tuntakse LockBit 2.0 nime all.

Rorschach Ransomware on väga paindlik ja sellel on valikulised argumendid, mis võimaldavad tal kohaneda operaatori vajadustega. Sellel on ka ainulaadsed funktsioonid, näiteks otseste süsteemikõnede kasutamine, kasutades käsku "syscall". Need funktsioonid muudavad selle tuvastamise ja selle eest kaitsmise väga keeruliseks.

Lisaks on lunavaral mitmeid sisseehitatud valikuid, mis on peidetud ja varjatud, muutes need ligipääsetavaks ainult pahavara pöördprojekteerimise kaudu. See võib olla mõeldud operaatorite mugavuse huvides.

Rorschach Ransomware kasutab hübriidset krüptograafiaprotsessi, mis ühendab ohvri failide krüptimiseks curve25519 ja eSTREAM šifri hc-128 algoritme. Erinevalt muust lunavarast krüpteerib see ainult teatud osa algse faili sisust, mitte kogu faili. See muudab krüpteerimisprotsessi kiiremaks ja tõhusamaks.

Oluline on märkida, et Rorschach Ransomware sihib nii Windowsi kui ka Linuxi operatsioonisüsteeme. Rorschachi Linuxi variantidel on sarnasusi Babuk Ransomware ohuga.

Rorschach Ransomware'i tarnitud lunarahateate täistekst on järgmine:

"Dekrüpteerimise ID:

Tere, kuna sa seda loed, tähendab see, et sind on häkitud.
Lisaks kõigi teie süsteemide krüpteerimisele ja varukoopiate kustutamisele laadisime alla ka teie konfidentsiaalse teabe.
Siin on, mida te ei tohiks teha.
1) Enne meie tehingu lõppu võtke ühendust politsei, FBI või muude ametiasutustega.
2) Võtke ühendust taaskasutusettevõttega, et nad saaksid meiega dialoogi pidada. (See võib aeglustada taastumist ja muuta meie suhtluse tühjaks). Ärge pöörduge taaskasutusettevõtete poole, nad on sisuliselt lihtsalt vahendajad, kes teevad teile raha ja petavad teid. Oleme hästi teadlikud juhtumitest, kus taaskasutusettevõtted ütlevad teile, et lunaraha hind on 5 miljonit dollarit, kuid tegelikult peavad nad salaja läbirääkimisi meile 1 miljoni dollari eest, seega teenivad nad sinult 4 miljonit dollarit. Kui pöörduksite meie poole otse ilma vahendajateta, maksaksite 5 korda vähem, see on 1 miljon dollarit.
3) Ärge proovige faile ise dekrüpteerida, samuti ärge muutke faililaiendit ise !!! See võib põhjustada nende dekrüpteerimise võimatust.

Kohe pärast lugemist peaksite tegema järgmist:
1) Kui oled tavaline töötaja, siis saada meie teade ettevõtte tegevjuhile, samuti IT osakonnale.
2) Kui olete tegevjuht või IT-osakonna spetsialist või mõni muu isik, kellel on ettevõttes kaalu, võtke meiega ühendust 24 tunni jooksul meili teel.

Kui te lunaraha ei maksa, ründame teie ettevõtet tulevikus uuesti. Mõne nädala pärast lihtsalt kordame oma rünnakut ja kustutame teie võrkudest kõik teie andmed, MIS JUHATAB NENDE KÄTTESAAMATUTUST!

Failide dekrüpteerimise tagatiseks soovitame saata mitu faili tasuta dekrüpteerimiseks.
Meilid meiega ühenduse võtmiseks (kirjutage dekrüpteerimise ID oma sõnumi pealkirja):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'