Rorschach Ransomware

Rorschach tai BabLock -niminen kiristysohjelma on suunniteltu salaamaan tiedostoja ja kohdistamaan sen pieniin ja keskisuuriin yrityksiin sekä teollisuusorganisaatioihin. Kun Rorschach saastuttaa järjestelmän, se ei vain salaa tietoja, vaan myös lisää satunnaisen merkkijonon, jota seuraa kaksinumeroinen numero tiedostonimien loppuun. Tämän muutoksen tarkoituksena on vaikeuttaa uhrien huomaamista, että heidän tietonsa on lukittu.

Rorschach myös pudottaa lunnaita koskeva muistiinpanotiedoston nimeltä "_r_e_a_d_m_e.txt" ja muuttaa nykyistä työpöydän taustaa pelotellakseen uhria entisestään. Liitteenä oleva satunnaisten merkkien merkkijono ja kaksinumeroinen luku voivat vaihdella kiristysohjelman tietystä versiosta riippuen.

Rorschach Ransomwaren vaikuttamat tiedot muuttuvat käyttökelvottomiksi

Hyökkääjien tartunnan saaneeseen järjestelmään jättämä lunnausviesti toimii ilmoituksena, että heidän järjestelmänsä on vaarantunut, heidän tiedot on salattu ja varmuuskopiot on poistettu. Muistiossa voidaan myös mainita, että hyökkääjät ovat varastaneet luottamuksellisia tietoja.

Lunnaslappu tyypillisesti kehottaa uhria olemaan ottamasta yhteyttä poliisiin, FBI:hin tai muihin viranomaisiin ennen kuin lunnaat on maksettu. Se voi myös estää uhreja ottamasta yhteyttä tietojen palautusyrityksiin väittäen, että he ovat välittäjiä, jotka veloittavat suuren summan rahaa antamatta apua.

Lunnaslappu myös varoittaa uhreja yrittämästä purkaa tiedostoja itse tai muokata tiedostopäätteitä, koska tämä voi tehdä salattujen tietojen palauttamisen mahdottomaksi. Hyökkääjät antavat uhreille kaksi sähköpostiosoitetta, joilla he voivat ottaa heihin yhteyttä, ja lähettää muutamia tiedostoja koesalauksen purkamista varten - "wvpater@onionmail.org" ja "wvpater1@onionmail.org".

Lunnaslappu sisältää uhan, että jos lunnaita ei makseta, hyökkääjät käynnistävät uuden hyökkäyksen uhrin järjestelmää vastaan ja poistavat kaikki tiedot verkoistaan.

Rorschach Ransomware voi tartuttaa Windows- ja Linux-järjestelmiä

Rorschach Ransomware on kehittynyt uhka, joka on suunniteltu leviämään automaattisesti, kun se suoritetaan Windows Domain Controllerissa (DC). Kun kiristysohjelma on suoritettu, se luo ryhmäkäytännön, jonka avulla se voi levitä muihin koneisiin toimialueen sisällä. Tämä ominaisuus on aiemmin liitetty toisen tyyppiseen kiristysohjelmiin, jotka tunnetaan nimellä LockBit 2.0.

Rorschach Ransomware on erittäin joustava ja siinä on valinnaisia argumentteja, joiden avulla se mukautuu käyttäjän tarpeisiin. Siinä on myös ainutlaatuisia toimintoja, kuten suorien järjestelmäkutsujen käyttö "syscall"-käskyn avulla. Nämä ominaisuudet tekevät sen havaitsemisen ja vastaan puolustamisen erittäin vaikeaksi.

Lisäksi kiristysohjelmassa on useita sisäänrakennettuja vaihtoehtoja, jotka on piilotettu ja peitetty, joten ne ovat käytettävissä vain haittaohjelman käänteissuunnittelun kautta. Tämä voi olla tarkoitettu käyttäjien mukavuuden vuoksi.

Rorschach Ransomware käyttää hybridisalausprosessia, joka yhdistää curve25519- ja eSTREAM-salaus hc-128 -algoritmit uhrin tiedostojen salaamiseen. Toisin kuin muut kiristysohjelmat, se salaa vain tietyn osan alkuperäisen tiedoston sisällöstä koko tiedoston sijaan. Tämä tekee salausprosessista nopeamman ja tehokkaamman.

On tärkeää huomata, että Rorschach Ransomware on kohdistettu sekä Windows- että Linux-käyttöjärjestelmiin. Rorschachin Linux-versioilla on yhtäläisyyksiä Babuk Ransomware -uhan kanssa.

Rorschach Ransomwaren toimittaman lunnasilmoituksen koko teksti on:

'Salauksen purkutunnus:

Hei, koska luet tätä, se tarkoittaa, että sinut on hakkeroitu.
Sen lisäksi, että salasimme kaikki järjestelmäsi ja poistamme varmuuskopiot, latasimme myös luottamukselliset tietosi.
Tässä on mitä sinun ei pitäisi tehdä:
1) Ota yhteyttä poliisiin, fbi:hen tai muihin viranomaisiin ennen sopimuksen päättymistä.
2) Ota yhteyttä perintäyhtiöön, jotta he käyvät keskusteluja kanssamme. (Tämä voi hidastaa toipumista ja tehdä viestinnämme tyhjäksi). Älä mene perintäyrityksiin, ne ovat pohjimmiltaan vain välittäjiä, jotka tienaavat sinulle rahaa ja huijaavat sinua. Olemme hyvin tietoisia tapauksista, joissa perintäyritykset kertovat sinulle lunnaiden hinnaksi 5 miljoonaa dollaria, mutta itse asiassa ne neuvottelevat salaa meille miljoonalla dollarilla, joten he ansaitsevat sinulta 4 miljoonaa dollaria. Jos ottaisit yhteyttä suoraan ilman välittäjiä, maksaisit 5 kertaa vähemmän eli miljoona dollaria.
3) Älä yritä purkaa tiedostoja itse, äläkä muuta tiedostopäätettä itse !!! Tämä voi johtaa niiden salauksen purkamisen mahdottomuuteen.

Tässä on mitä sinun tulee tehdä heti sen lukemisen jälkeen:
1) Jos olet tavallinen työntekijä, lähetä viestimme yrityksen toimitusjohtajalle sekä IT-osastolle.
2) Jos olet toimitusjohtaja, IT-osaston asiantuntija tai muu henkilö, jolla on painoarvoa yrityksessä, ota meihin yhteyttä 24 tunnin sisällä sähköpostitse.

Jos et maksa lunnaita, hyökkäämme yritykseesi uudelleen tulevaisuudessa. Muutaman viikon kuluttua yksinkertaisesti toistamme hyökkäyksemme ja poistamme kaikki tietosi verkoistasi, JOKA JOHTAA NIIDEN KÄYTTÖÖNOTTOMUUTTAMISEEN!

Takuuksi, että voimme purkaa tiedostot, suosittelemme, että lähetät useita tiedostoja ilmaista salauksen purkamista varten.
Sähköpostit yhteydenottoa varten (kirjoita salauksenpurkutunnus viestisi otsikkoon):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'