Rorschach Ransomware

Rorschach, या BabLock के रूप में जाना जाने वाला रैंसमवेयर, फाइलों को एन्क्रिप्ट करने और छोटे से मध्यम आकार के व्यवसायों के साथ-साथ औद्योगिक संगठनों को लक्षित करने के लिए डिज़ाइन किया गया है। जब Rorschach एक सिस्टम को संक्रमित करता है, तो यह न केवल डेटा को एन्क्रिप्ट करता है बल्कि फ़ाइल नामों के अंत में दो अंकों की संख्या के बाद वर्णों की एक यादृच्छिक स्ट्रिंग भी जोड़ता है। इस संशोधन का उद्देश्य पीड़ितों के लिए यह नोटिस करना अधिक कठिन बनाना है कि उनका डेटा लॉक कर दिया गया है।

Rorschach '_r_e_a_d_m_e.txt' नामक फिरौती की नोट फ़ाइल भी छोड़ देता है और पीड़ित को और डराने के लिए वर्तमान डेस्कटॉप पृष्ठभूमि को बदल देता है। रैंसमवेयर के विशेष संस्करण के आधार पर यादृच्छिक वर्णों की संलग्न स्ट्रिंग और दो अंकों की संख्या भिन्न हो सकती है।

Rorschach Ransomware द्वारा प्रभावित डेटा अनुपयोगी हो जाता है

संक्रमित सिस्टम पर हमलावरों द्वारा छोड़ा गया फिरौती का नोट एक अधिसूचना के रूप में कार्य करता है कि उनके सिस्टम से समझौता किया गया है, उनका डेटा एन्क्रिप्ट किया गया है, और उनके बैकअप हटा दिए गए हैं। नोट में यह भी उल्लेख हो सकता है कि हमलावरों द्वारा गोपनीय जानकारी चुरा ली गई है।

फिरौती का नोट आमतौर पर पीड़ितों को फिरौती का भुगतान किए जाने तक पुलिस, एफबीआई या अन्य अधिकारियों से संपर्क न करने का निर्देश देता है। यह पीड़ितों को डेटा रिकवरी कंपनियों से संपर्क करने से भी हतोत्साहित कर सकता है, यह दावा करते हुए कि वे बिचौलिए हैं जो बिना कोई सहायता प्रदान किए बड़ी राशि चार्ज करेंगे।

फिरौती का नोट पीड़ितों को चेतावनी देता है कि वे स्वयं फाइलों को डिक्रिप्ट करने या फाइल एक्सटेंशन को संशोधित करने का प्रयास न करें, क्योंकि इससे एन्क्रिप्टेड डेटा को पुनर्प्राप्त करना असंभव हो सकता है। हमलावर पीड़ितों को उनसे संपर्क करने और परीक्षण डिक्रिप्शन के लिए कुछ फाइलें भेजने के लिए दो ईमेल पते प्रदान करते हैं - 'wvpater@onionmail.org' और 'wvpater1@onionmail.org'।

फिरौती के नोट में धमकी दी गई है कि अगर फिरौती का भुगतान नहीं किया गया तो हमलावर पीड़ित के सिस्टम के खिलाफ एक और हमला करेंगे और उनके नेटवर्क से सभी डेटा को हटा देंगे।

Rorschach Ransomware Windows और Linux सिस्टम को संक्रमित कर सकता है

Rorschach Ransomware एक परिष्कृत खतरा है जिसे विंडोज डोमेन कंट्रोलर (DC) पर निष्पादित होने पर स्वचालित रूप से फैलने के लिए डिज़ाइन किया गया है। एक बार निष्पादित होने के बाद, रैंसमवेयर एक समूह नीति बनाता है, जो इसे डोमेन के भीतर अन्य मशीनों में फैलने की अनुमति देता है। यह सुविधा पहले एक अन्य प्रकार के रैंसमवेयर से जुड़ी हुई है जिसे LockBit 2.0 के नाम से जाना जाता है।

Rorschach Ransomware अत्यधिक लचीला है और इसमें वैकल्पिक तर्क हैं जो इसे ऑपरेटर की आवश्यकताओं के अनुकूल बनाने में सक्षम बनाते हैं। इसके अनूठे कार्य भी हैं, जैसे "syscall" निर्देश का उपयोग करके डायरेक्ट सिस्टम कॉल का उपयोग। इन विशेषताओं का पता लगाना और बचाव करना बहुत मुश्किल हो जाता है।

इसके अतिरिक्त, रैंसमवेयर में कई बिल्ट-इन विकल्प होते हैं जो छिपे और अस्पष्ट होते हैं, जिससे उन्हें केवल रिवर्स-इंजीनियरिंग मैलवेयर के माध्यम से एक्सेस किया जा सकता है। यह ऑपरेटरों की सुविधा के लिए इरादा हो सकता है।

Rorschach Ransomware एक हाइब्रिड क्रिप्टोग्राफी प्रक्रिया का उपयोग करता है जो शिकार की फाइलों को एन्क्रिप्ट करने के लिए कर्व25519 और eSTREAM सिफर hc-128 एल्गोरिदम को जोड़ती है। अन्य रैंसमवेयर के विपरीत, यह पूरी फ़ाइल के बजाय केवल मूल फ़ाइल सामग्री के एक निश्चित भाग को एन्क्रिप्ट करता है। यह एन्क्रिप्शन प्रक्रिया को तेज़ और अधिक कुशल बनाता है।

यह ध्यान रखना महत्वपूर्ण है कि Rorschach Ransomware Windows और Linux ऑपरेटिंग सिस्टम दोनों को लक्षित करता है। Rorschach के Linux संस्करणों में बाबुक रैंसमवेयर खतरे के समान समानताएं हैं।

Rorschach Ransomware द्वारा दिया गया फिरौती नोट का पूरा पाठ है:

डिक्रिप्शन आईडी:

नमस्ते, चूंकि आप इसे पढ़ रहे हैं, इसका मतलब है कि आपको हैक कर लिया गया है।
आपके सभी सिस्टमों को एन्क्रिप्ट करने, बैकअप हटाने के अलावा, हमने आपकी गोपनीय जानकारी भी डाउनलोड की है।
यहां बताया गया है कि आपको क्या नहीं करना चाहिए:
1) हमारे सौदे की समाप्ति से पहले पुलिस, एफबीआई या अन्य अधिकारियों से संपर्क करें।
2) रिकवरी कंपनी से संपर्क करें ताकि वे हमारे साथ बातचीत करें। (यह रिकवरी को धीमा कर सकता है, और हमारे संचार को शून्य कर सकता है)। वसूली कंपनियों के पास मत जाओ, वे अनिवार्य रूप से सिर्फ बिचौलिए हैं जो आपसे पैसे कमाएंगे और आपको धोखा देंगे। हम ऐसे मामलों से अच्छी तरह वाकिफ हैं जहां वसूली कंपनियां आपको बताती हैं कि फिरौती की कीमत 5 मिलियन डॉलर है, लेकिन वास्तव में वे गुप्त रूप से बातचीत करते हैं हमें 1 मिलियन डॉलर में, तो वे आपसे 4 मिलियन डॉलर कमाते हैं। यदि आप बिचौलियों के बिना हमसे सीधे संपर्क करते हैं तो आप 5 गुना कम भुगतान करेंगे, जो कि 1 मिलियन डॉलर है।
3) फाइलों को स्वयं डिक्रिप्ट करने का प्रयास न करें, साथ ही फाइल एक्सटेंशन को स्वयं न बदलें !!! इससे उनके डिक्रिप्शन की असंभवता हो सकती है।

यहां बताया गया है कि इसे पढ़ने के बाद आपको क्या करना चाहिए:
1) यदि आप एक साधारण कर्मचारी हैं, तो हमारा संदेश कंपनी के सीईओ के साथ-साथ आईटी विभाग को भी भेजें।
2) यदि आप सीईओ हैं, या आईटी विभाग के विशेषज्ञ हैं, या कोई अन्य व्यक्ति जिसका कंपनी में वजन है, तो आपको ईमेल द्वारा 24 घंटे के भीतर हमसे संपर्क करना चाहिए।

यदि आप फिरौती का भुगतान नहीं करते हैं, तो हम भविष्य में आपकी कंपनी पर फिर से हमला करेंगे। कुछ ही हफ्तों में, हम बस अपने हमले को दोहराएंगे और आपके सभी डेटा को आपके नेटवर्क से हटा देंगे, जिससे उनकी अनुपलब्धता हो जाएगी!

इस बात की गारंटी के रूप में कि हम फाइलों को डिक्रिप्ट कर सकते हैं, हमारा सुझाव है कि आप मुफ्त डिक्रिप्शन के लिए कई फाइलें भेजें।
हमसे संपर्क करने के लिए मेल (अपने संदेश के शीर्षक में डिक्रिप्शन आईडी लिखें):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'