Rorschach Ransomware
תוכנת הכופר הידועה בשם Rorschach, או BabLock, נועדה להצפין קבצים ולמקד לעסקים קטנים עד בינוניים, כמו גם לארגונים תעשייתיים. כאשר Rorschach מדביק מערכת, היא לא רק מצפינה נתונים אלא גם מוסיפה מחרוזת אקראית של תווים ואחריה מספר דו ספרתי בסוף שמות הקבצים. מטרת השינוי הזה היא להקשות על הקורבנות להבחין שהנתונים שלהם ננעלו.
רורשאך גם מוריד קובץ פתק כופר בשם '_r_e_a_d_m_e.txt' ומשנה את הרקע הנוכחי של שולחן העבודה כדי להפחיד עוד יותר את הקורבן. המחרוזת המצורפת של תווים אקראיים והמספר הדו ספרתי עשויים להשתנות בהתאם לגרסה הספציפית של תוכנת הכופר.
הנתונים המושפעים מתוכנת הכופר של Rorschach הופכים לבלתי שמישים
פתק הכופר שהשאירו התוקפים במערכת הנגועה משמשת כהתראה על כך שהמערכת שלהם נפגעה, הנתונים שלהם הוצפנו והגיבויים שלהם נמחקו. בפתק ניתן גם לציין שמידע סודי נגנב על ידי התוקפים.
פתק הכופר בדרך כלל מורה לקורבנות לא לפנות למשטרה, ל-FBI או לרשויות אחרות עד שתשלום הכופר יתבצע. זה גם עשוי להרתיע קורבנות מליצור קשר עם חברות שחזור מידע, בטענה שהם מתווכים שיגבו סכום כסף גדול מבלי לספק כל סיוע.
הערת הכופר גם מזהירה את הקורבנות שלא לנסות לפענח את הקבצים בעצמם או לשנות את הרחבות הקבצים, מכיוון שהדבר עלול לגרום לבלתי אפשרי לשחזר את הנתונים המוצפנים. התוקפים מספקים שתי כתובות דוא"ל לקורבנות ליצור איתם קשר ולשלוח כמה קבצים לפענוח בדיקה - 'wvpater@onionmail.org' ו-'wvpater1@onionmail.org'.
שטר הכופר מכיל איום שאם תשלום הכופר לא יתבצע, התוקפים יפתחו במתקפה נוספת נגד המערכת של הקורבן וימחקו את כל הנתונים מהרשתות שלהם.
תוכנת הכופר של Rorschach יכולה להדביק את מערכות Windows ולינוקס
תוכנת הכופר של Rorschach היא איום מתוחכם שנועד להתפשט באופן אוטומטי כאשר הוא מופעל על בקר תחום של Windows (DC). לאחר ביצועה, תוכנת הכופר יוצרת מדיניות קבוצתית, המאפשרת לה להתפשט למכונות אחרות בתוך התחום. תכונה זו הייתה קשורה בעבר לסוג אחר של תוכנת כופר המכונה LockBit 2.0.
תוכנת הכופר של Rorschach היא גמישה ביותר ובעלת טיעונים אופציונליים המאפשרים לה להתאים את עצמה לצרכי המפעיל. יש לו גם פונקציות ייחודיות, כמו שימוש בקריאות מערכת ישירות באמצעות הוראת "syscall". תכונות אלו מקשות מאוד על הזיהוי וההגנה מפניהן.
בנוסף, לתוכנת הכופר יש מספר אפשרויות מובנות המוסתרות ומוסתרות, מה שהופך אותן לנגישות רק באמצעות הנדסה לאחור של התוכנה הזדונית. ייתכן שהדבר נועד לנוחיות המפעילים.
תוכנת הכופר של Rorschach משתמשת בתהליך הצפנה היברידי המשלב את האלגוריתמים curve25519 ו-eSTREAM cipher hc-128 כדי להצפין את הקבצים של הקורבן. בניגוד לתוכנות כופר אחרות, היא מצפינה רק חלק מסוים מתוכן הקובץ המקורי, ולא את הקובץ כולו. זה הופך את תהליך ההצפנה למהיר ויעיל יותר.
חשוב לציין כי תוכנת הכופר של Rorschach מכוונת הן למערכות ההפעלה Windows והן לינוקס. לגרסאות הלינוקס של Rorschach יש קווי דמיון לאיום Babuk Ransomware.
הטקסט המלא של פתק הכופר שנמסר על ידי Rorschach Ransomware הוא:
'זיהוי פענוח:
היי, מכיוון שאתה קורא את זה זה אומר שנפרצת.
בנוסף להצפנת כל המערכות שלך, מחיקת גיבויים, הורדנו גם את המידע הסודי שלך.
הנה מה שלא כדאי לעשות:
1) פנה למשטרה, ל-fbi או לרשויות אחרות לפני סיום העסקה שלנו.
2) פנו לחברת ההבראה כדי שתנהלו איתנו דיאלוגים. (זה יכול להאט את ההתאוששות, ולבטל את התקשורת שלנו). אל תלך לחברות שחזור, הן בעצם רק מתווכים שיעשו ממך כסף וירמות אותך. אנחנו מודעים היטב למקרים שבהם חברות שחזור אומרות לך שמחיר הכופר הוא 5 מיליון דולר, אבל למעשה הן מנהלות משא ומתן בסתר עם לנו עבור מיליון דולר, אז הם מרוויחים ממך 4 מיליון דולר. אם הייתם פונים אלינו ישירות ללא מתווכים הייתם משלמים פי 5 פחות, כלומר מיליון דולר.
3) אל תנסה לפענח את הקבצים בעצמך, כמו גם אל תשנה את סיומת הקובץ בעצמך !!! זה יכול להוביל לחוסר האפשרות של פענוחם.
הנה מה שעליך לעשות מיד לאחר קריאתו:
1) אם אתה עובד רגיל, שלח את הודעתנו למנכ"ל החברה, וכן למחלקת ה-IT.
2) אם אתה מנכ"ל, או מומחה במחלקת IT, או אדם אחר שיש לו משקל בחברה, עליך לפנות אלינו תוך 24 שעות במייל.
אם לא תשלם את הכופר, אנו נתקוף את החברה שלך שוב בעתיד. בעוד מספר שבועות, פשוט נחזור על ההתקפה שלנו ונמחק את כל הנתונים שלך מהרשתות שלך, מה שיוביל לאי זמינותם!
בתור ערובה לכך שנוכל לפענח את הקבצים, אנו מציעים שתשלח מספר קבצים לפענוח בחינם.
מיילים ליצירת קשר (כתוב את מזהה הפענוח בכותרת ההודעה שלך):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'
