Rorschach Ransomware

A Rorschach vagy BabLock néven ismert zsarolóprogramot fájlok titkosítására tervezték, és kis- és középvállalkozásokat, valamint ipari szervezeteket céloz meg. Amikor a Rorschach megfertőz egy rendszert, az nemcsak titkosítja az adatokat, hanem egy véletlenszerű karaktersorozatot is hozzáad, amelyet egy kétjegyű szám követ a fájlnevek végén. Ennek a módosításnak az a célja, hogy megnehezítse az áldozatok számára, hogy észrevegyék, hogy adataikat zárolták.

Rorschach egy „_r_e_a_d_m_e.txt” nevű váltságdíj-jegyzetfájlt is eldob, és megváltoztatja az asztal jelenlegi hátterét, hogy még jobban megfélemlítse az áldozatot. A hozzáfűzött véletlenszerű karaktersorozat és a kétjegyű szám a zsarolóprogram adott változatától függően változhat.

A Rorschach Ransomware által érintett adatok használhatatlanná válnak

A támadók által a fertőzött rendszeren hagyott váltságdíj-cédula figyelmeztetésül szolgál, hogy rendszerüket feltörték, adataikat titkosították, biztonsági másolataikat törölték. A feljegyzés azt is megemlítheti, hogy a támadók bizalmas információkat loptak el.

A váltságdíj-jegyzet általában arra utasítja az áldozatokat, hogy ne lépjenek kapcsolatba a rendőrséggel, az FBI-val vagy más hatóságokkal, amíg a váltságdíjat meg nem fizetik. Ez eltántoríthatja az áldozatokat attól, hogy adat-visszaállító cégekkel forduljanak, azt állítva, hogy ők közvetítők, akik nagy összegű pénzt számítanak fel anélkül, hogy bármiféle segítséget nyújtanának.

A váltságdíj feljegyzése arra is figyelmezteti az áldozatokat, hogy ne kíséreljék meg maguknak a fájlok visszafejtését vagy a fájlkiterjesztések módosítását, mivel ez lehetetlenné teheti a titkosított adatok visszaállítását. A támadók két e-mail címet adnak meg az áldozatoknak, hogy kapcsolatba léphessenek velük, és küldjenek néhány fájlt teszt-visszafejtésre – „wvpater@onionmail.org” és „wvpater1@onionmail.org”.

A váltságdíjról szóló feljegyzés azt a fenyegetést tartalmazza, hogy ha a váltságdíj nem kerül kifizetésre, a támadók újabb támadást indítanak az áldozat rendszere ellen, és törlik az összes adatot a hálózatukról.

A Rorschach Ransomware megfertőzheti a Windows és a Linux rendszereket

A Rorschach Ransomware egy kifinomult fenyegetés, amelyet úgy terveztek, hogy automatikusan terjedjen, ha Windows tartományvezérlőn (DC) hajtják végre. A végrehajtás után a zsarolóprogram létrehoz egy csoportházirendet, amely lehetővé teszi, hogy a tartományon belül más gépekre is elterjedjen. Ezt a funkciót korábban egy másik LockBit 2.0 néven ismert ransomware-hez társították.

A Rorschach Ransomware rendkívül rugalmas, és opcionális argumentumokkal rendelkezik, amelyek lehetővé teszik, hogy alkalmazkodjon a kezelő igényeihez. Egyedi funkciókkal is rendelkezik, mint például a "syscall" utasítás segítségével történő közvetlen rendszerhívások használata. Ezek a tulajdonságok nagyon megnehezítik az észlelést és a védekezést.

Ezenkívül a ransomware számos beépített opcióval rendelkezik, amelyek el vannak rejtve és el vannak takarva, így csak a rosszindulatú program visszafejtésével érhetők el. Ez lehet a kezelők kényelmét szolgálja.

A Rorschach Ransomware hibrid kriptográfiai eljárást használ, amely a curve25519 és az eSTREAM titkosítási hc-128 algoritmusokat kombinálja az áldozat fájljainak titkosításához. Más zsarolóprogramoktól eltérően az eredeti fájltartalomnak csak egy részét titkosítja, nem pedig a teljes fájlt. Ez gyorsabbá és hatékonyabbá teszi a titkosítási folyamatot.

Fontos megjegyezni, hogy a Rorschach Ransomware Windows és Linux operációs rendszereket is céloz. A Rorschach linuxos változatai hasonlóságot mutatnak a Babuk Ransomware fenyegetéssel.

A Rorschach Ransomware által szállított váltságdíj teljes szövege a következő:

"Dekódolási azonosító:

Szia! Mivel ezt olvasod, ez azt jelenti, hogy feltörték.
Az összes rendszer titkosítása és a biztonsági másolatok törlése mellett az Ön bizalmas adatait is letöltöttük.
Íme, mit ne tegye:
1) Lépjen kapcsolatba a rendőrséggel, az FBI-val vagy más hatóságokkal az üzletünk lejárta előtt.
2) Vegye fel a kapcsolatot a helyreállítási céggel, hogy párbeszédet folytathassanak velünk. (Ez lelassíthatja a felépülést, és semmivé teheti kommunikációnkat). Ne menjen beszállító cégekhez, ők lényegében csak közvetítők, akik pénzt keresnek, és megcsalnak. Jól ismerjük azokat az eseteket, amikor a beszállító cégek azt mondják, hogy a váltságdíj 5 millió dollár, de valójában titokban tárgyalnak nekünk 1 millió dollárért, tehát 4 millió dollárt keresnek tőled. Ha közvetlenül, közvetítők nélkül fordulna hozzánk, ötször kevesebbet, azaz 1 millió dollárt fizetne.
3) Ne próbálja meg saját maga visszafejteni a fájlokat, és ne változtassa meg a fájl kiterjesztését! Ez a visszafejtés ellehetetlenüléséhez vezethet.

Íme, mit kell tennie közvetlenül az olvasás után:
1) Ha Ön hétköznapi alkalmazott, küldje el üzenetünket a cég vezérigazgatójának, valamint az informatikai osztálynak.
2) Ha Ön vezérigazgató, vagy az informatikai részleg szakembere, vagy más személy, akinek súlya van a vállalatnál, 24 órán belül vegye fel velünk a kapcsolatot e-mailben.

Ha nem fizeti ki a váltságdíjat, a jövőben ismét megtámadjuk a cégét. Néhány héten belül egyszerűen megismételjük támadásunkat, és töröljük az összes adatát a hálózatairól, EZ AZOK KIÉRHETETLENSÉGÉHEZ VESZIK!

A fájlok visszafejtésének garanciájaként javasoljuk, hogy küldjön több fájlt ingyenes visszafejtésre.
Kapcsolatfelvételi e-mailek (írja a visszafejtési azonosítót az üzenet címébe):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'