Rorschach Ransomware

Ransomware poznat kao Rorschach ili BabLock dizajniran je za šifriranje datoteka i cilja na mala i srednja poduzeća, kao i industrijske organizacije. Kada Rorschach zarazi sustav, on ne samo da šifrira podatke, već dodaje i nasumični niz znakova iza kojih slijedi dvoznamenkasti broj na kraju naziva datoteka. Svrha ove izmjene je otežati žrtvama da primijete da su im podaci zaključani.

Rorschach također ispušta datoteku s porukom o otkupnini pod nazivom '_r_e_a_d_m_e.txt' i mijenja trenutnu pozadinu radne površine kako bi dodatno zastrašio žrtvu. Dodani niz nasumičnih znakova i dvoznamenkasti broj mogu se razlikovati ovisno o pojedinoj varijanti ransomwarea.

Podaci pod utjecajem Rorschach Ransomwarea postaju neupotrebljivi

Poruka o otkupnini koju su napadači ostavili na zaraženom sustavu služi kao obavijest da je njihov sustav kompromitiran, podaci šifrirani, a sigurnosne kopije izbrisane. Bilješka također može spomenuti da su napadači ukrali povjerljive informacije.

Poruka o otkupnini obično upućuje žrtve da ne kontaktiraju policiju, FBI ili druge vlasti dok se otkupnina ne plati. To također može obeshrabriti žrtve da kontaktiraju tvrtke za oporavak podataka, tvrdeći da su oni posrednici koji će naplatiti velike količine novca bez pružanja ikakve pomoći.

Obavijest o otkupnini također upozorava žrtve da ne pokušavaju same dešifrirati datoteke ili mijenjati datotečne ekstenzije jer to može onemogućiti oporavak šifriranih podataka. Napadači daju dvije adrese e-pošte žrtvama da ih kontaktiraju i pošalju nekoliko datoteka za testno dešifriranje - 'wvpater@onionmail.org' i 'wvpater1@onionmail.org.'

Poruka o otkupnini sadrži prijetnju da će napadači, ako se otkupnina ne plati, pokrenuti novi napad na žrtvin sustav i izbrisati sve podatke s njihove mreže.

Ransomware Rorschach može zaraziti Windows i Linux sustave

Ransomware Rorschach je sofisticirana prijetnja koja je dizajnirana za automatsko širenje kada se izvrši na Windows kontroleru domene (DC). Nakon što se izvrši, ransomware stvara grupnu politiku koja mu omogućuje širenje na druga računala unutar domene. Ova je značajka prethodno bila povezana s drugom vrstom ransomwarea poznatom kao LockBit 2.0.

Ransomware Rorschach vrlo je fleksibilan i ima izborne argumente koji mu omogućuju prilagodbu potrebama operatera. Također ima jedinstvene funkcije, kao što je korištenje izravnih poziva sustava korištenjem instrukcije "syscall". Ove karakteristike čine ga vrlo teškim za otkrivanje i obranu.

Osim toga, ransomware ima nekoliko ugrađenih opcija koje su skrivene i zamagljene, što ih čini dostupnima samo putem obrnutog inženjeringa zlonamjernog softvera. Ovo može biti namijenjeno za praktičnost operatera.

Ransomware Rorschach koristi hibridni kriptografski proces koji kombinira algoritme curve25519 i eSTREAM cipher hc-128 za šifriranje datoteka žrtve. Za razliku od drugog ransomwarea, šifrira samo određeni dio izvornog sadržaja datoteke, a ne cijelu datoteku. To čini proces enkripcije bržim i učinkovitijim.

Važno je napomenuti da Rorschach Ransomware cilja i na Windows i na Linux operativne sustave. Linux varijante Rorschacha imaju sličnosti s prijetnjom Babuk Ransomware.

Potpuni tekst poruke o otkupnini koju je dostavio Ransomware Ransach je:

'ID dešifriranja:

Bok, budući da ovo čitaš znači da si hakiran.
Osim šifriranja svih vaših sustava, brisanja sigurnosnih kopija, preuzeli smo i vaše povjerljive informacije.
Evo što ne biste trebali učiniti:
1) Kontaktirajte policiju, FBI ili druge vlasti prije isteka našeg ugovora.
2) Kontaktirajte tvrtku za oporabu kako bi oni vodili dijalog s nama. (Ovo može usporiti oporavak i obesmisliti našu komunikaciju). Nemojte ići u tvrtke za oporavak, one su u biti samo posrednici koji će zaraditi na vama i prevariti vas. Dobro su nam poznati slučajevi u kojima vam tvrtke za oporavak kažu da je cijena otkupnine 5 milijuna dolara, ali zapravo potajno pregovaraju s nas za 1 milijun dolara, tako da oni zarađuju 4 milijuna dolara od vas. Da ste nam se obratili izravno bez posrednika platili biste 5 puta manje, odnosno milijun dolara.
3) Ne pokušavajte sami dešifrirati datoteke, kao ni sami ne mijenjajte ekstenziju datoteke !!! To može dovesti do nemogućnosti njihove dešifriranja.

Evo što biste trebali učiniti odmah nakon čitanja:
1) Ako ste obični zaposlenik, pošaljite našu poruku direktoru tvrtke, kao i IT odjelu.
2) Ako ste CEO, ili stručnjak u IT odjelu, ili druga osoba koja ima značaj u tvrtki, trebali biste nas kontaktirati u roku od 24 sata putem e-pošte.

Ako ne platite otkupninu, ponovno ćemo napasti vašu tvrtku u budućnosti. Za nekoliko tjedana jednostavno ćemo ponoviti naš napad i izbrisati sve vaše podatke s vaših mreža, ŠTO ĆE DOVESTI DO NJIHOVE NEDOSTUPNOSTI!

Kao jamstvo da možemo dešifrirati datoteke, predlažemo da pošaljete nekoliko datoteka na besplatno dešifriranje.
Mailovi za kontakt (napišite ID dešifriranja u naslov svoje poruke):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'