Rorschach Ransomware

باج افزار معروف به Rorschach یا BabLock برای رمزگذاری فایل ها و هدف قرار دادن مشاغل کوچک تا متوسط و همچنین سازمان های صنعتی طراحی شده است. هنگامی که رورشاخ یک سیستم را آلوده می کند، نه تنها داده ها را رمزگذاری می کند، بلکه یک رشته تصادفی از کاراکترها و به دنبال آن یک عدد دو رقمی در انتهای نام فایل ها اضافه می کند. هدف از این اصلاح این است که قربانیان متوجه قفل شدن داده‌هایشان سخت‌تر شوند.

Rorschach همچنین یک فایل یادداشت باج به نام '_r_e_a_d_m_e.txt' را حذف می کند و پس زمینه دسکتاپ فعلی را برای ترساندن بیشتر قربانی تغییر می دهد. رشته اضافه شده از کاراکترهای تصادفی و عدد دو رقمی ممکن است بسته به نوع خاصی از باج افزار متفاوت باشد.

داده های تحت تاثیر باج افزار Rorschach غیر قابل استفاده می شود

یادداشت باج‌گیری که توسط مهاجمان بر روی سیستم آلوده باقی می‌ماند، به عنوان یک اعلان است که سیستم آنها در معرض خطر قرار گرفته است، داده‌های آنها رمزگذاری شده است و نسخه‌های پشتیبان آنها حذف شده است. در یادداشت همچنین ممکن است اشاره شود که اطلاعات محرمانه توسط مهاجمان به سرقت رفته است.

یادداشت باج معمولاً به قربانیان دستور می دهد که تا زمان پرداخت باج با پلیس، FBI یا سایر مقامات تماس نگیرند. همچنین ممکن است قربانیان را از تماس با شرکت های بازیابی اطلاعات منصرف کند و ادعا کند که آنها واسطه هایی هستند که بدون ارائه هیچ کمکی مبلغ زیادی پول دریافت می کنند.

یادداشت باج‌گیری همچنین به قربانیان هشدار می‌دهد که سعی نکنند خود فایل‌ها را رمزگشایی کنند یا پسوند فایل را تغییر دهند، زیرا ممکن است بازیابی اطلاعات رمزگذاری شده غیرممکن شود. مهاجمان دو آدرس ایمیل برای قربانیان ارائه می دهند تا با آنها تماس بگیرند و چند فایل را برای رمزگشایی آزمایشی ارسال کنند - 'wvpater@onionmail.org' و 'wvpater1@onionmail.org.'

یادداشت باج حاوی این تهدید است که در صورت عدم پرداخت باج، مهاجمان حمله دیگری را علیه سیستم قربانی انجام داده و تمام داده‌ها را از شبکه‌های خود حذف خواهند کرد.

باج افزار Rorschach می تواند سیستم های ویندوز و لینوکس را آلوده کند

باج‌افزار Rorschach یک تهدید پیچیده است که به گونه‌ای طراحی شده است که هنگام اجرا بر روی یک کنترل‌کننده دامنه ویندوز (DC) به‌طور خودکار منتشر شود. پس از اجرا، باج‌افزار یک Group Policy ایجاد می‌کند که به آن اجازه می‌دهد به سایر ماشین‌های داخل دامنه گسترش یابد. این ویژگی قبلاً با نوع دیگری از باج افزار معروف به LockBit 2.0 مرتبط بوده است.

Ransomware Rorschach بسیار انعطاف پذیر است و دارای آرگومان های اختیاری است که آن را قادر می سازد تا با نیازهای اپراتور سازگار شود. همچنین دارای عملکردهای منحصر به فردی است، مانند استفاده از تماس های مستقیم سیستمی با استفاده از دستورالعمل "syscall". این ویژگی ها تشخیص و دفاع در برابر آن را بسیار دشوار می کند.

علاوه بر این، باج افزار دارای چندین گزینه داخلی است که پنهان و مبهم هستند و تنها از طریق مهندسی معکوس بدافزار قابل دسترسی هستند. این ممکن است برای راحتی اپراتورها در نظر گرفته شود.

باج افزار Rorschach از یک فرآیند رمزنگاری ترکیبی استفاده می کند که الگوریتم های curve25519 و eSTREAM cipher hc-128 را برای رمزگذاری فایل های قربانی ترکیب می کند. برخلاف سایر باج افزارها، این باج افزار فقط بخش خاصی از محتوای فایل اصلی را رمزگذاری می کند، نه کل فایل را. این باعث می شود که فرآیند رمزگذاری سریعتر و کارآمدتر شود.

توجه به این نکته ضروری است که باج افزار Rorschach هر دو سیستم عامل ویندوز و لینوکس را هدف قرار می دهد. انواع لینوکس Rorschach شباهت هایی به تهدید باج افزار Babuk دارند.

متن کامل یادداشت باج ارائه شده توسط Ransomware Rorschach به شرح زیر است:

شناسه رمزگشایی:

سلام، از آنجایی که شما در حال خواندن این مطلب هستید به این معنی است که شما هک شده اید.
ما علاوه بر رمزگذاری تمام سیستم های شما، حذف نسخه های پشتیبان، اطلاعات محرمانه شما را نیز دانلود کردیم.
این چیزی است که نباید انجام دهید:
1) قبل از پایان معامله با پلیس، اف بی آی یا سایر مقامات تماس بگیرید.
2) با شرکت بازیابی تماس بگیرید تا با ما گفتگو کنند. (این می تواند بهبود را کند کند و ارتباط ما را از بین ببرد). به شرکت های بازیابی نروید، آنها اساسا فقط واسطه هایی هستند که از شما پول در می آورند و شما را فریب می دهند. ما به خوبی از مواردی آگاه هستیم که شرکت های بازیابی به شما می گویند که قیمت باج 5 میلیون دلار است، اما در واقع آنها مخفیانه با آنها مذاکره می کنند. ما برای 1 میلیون دلار، بنابراین آنها 4 میلیون دلار از شما درآمد دارند. اگر مستقیماً بدون واسطه به ما مراجعه می کردید، 5 برابر کمتر پرداخت می کردید، یعنی 1 میلیون دلار.
3) سعی نکنید خودتان فایل ها را رمزگشایی کنید و همچنین پسوند فایل را خودتان تغییر ندهید !!! این می تواند منجر به عدم امکان رمزگشایی آنها شود.

این چیزی است که باید بلافاصله پس از خواندن آن انجام دهید:
1) اگر یک کارمند معمولی هستید، پیام ما را به مدیر عامل شرکت و همچنین به بخش فناوری اطلاعات ارسال کنید.
2) اگر مدیر عامل یا متخصص در بخش فناوری اطلاعات هستید یا فرد دیگری که دارای وزن در شرکت است، باید ظرف 24 ساعت از طریق ایمیل با ما تماس بگیرید.

اگر باج را پرداخت نکنید، در آینده دوباره به شرکت شما حمله خواهیم کرد. در عرض چند هفته، ما به سادگی حمله خود را تکرار می کنیم و تمام داده های شما را از شبکه های شما حذف می کنیم، که منجر به در دسترس نبودن آنها می شود!

به عنوان تضمینی برای رمزگشایی فایل ها، پیشنهاد می کنیم چندین فایل را برای رمزگشایی رایگان ارسال کنید.
ایمیل برای تماس با ما (شناسه رمزگشایی را در عنوان پیام خود بنویسید):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'