Sconti per licenze multiple
Threat Database Ransomware Rorschach ransomware

Rorschach ransomware

Entro Mezo nel Ransomware
Traduci in:
Italiano

Il ransomware noto come Rorschach, o BabLock, è progettato per crittografare i file e colpire le piccole e medie imprese, nonché le organizzazioni industriali. Quando Rorschach infetta un sistema, non solo crittografa i dati, ma aggiunge anche una stringa casuale di caratteri seguita da un numero a due cifre alla fine dei nomi dei file. Lo scopo di questa modifica è rendere più difficile per le vittime notare che i loro dati sono stati bloccati.

Rorschach rilascia anche un file di richiesta di riscatto chiamato "_r_e_a_d_m_e.txt" e cambia lo sfondo del desktop corrente per intimidire ulteriormente la vittima. La stringa di caratteri casuali allegata e il numero a due cifre possono variare a seconda della particolare variante del ransomware.

I dati interessati dal ransomware Rorschach diventano inutilizzabili

La richiesta di riscatto lasciata dagli aggressori sul sistema infetto funge da notifica che il loro sistema è stato compromesso, i loro dati sono stati crittografati e i loro backup sono stati eliminati. La nota può anche menzionare che le informazioni riservate sono state rubate dagli aggressori.

La richiesta di riscatto in genere istruisce le vittime a non contattare la polizia, l'FBI o altre autorità fino a quando non è stato effettuato il pagamento del riscatto. Può anche scoraggiare le vittime dal contattare le società di recupero dati, sostenendo che sono intermediari che addebiteranno una grande quantità di denaro senza fornire alcuna assistenza.

La nota di riscatto avverte inoltre le vittime di non tentare di decrittografare i file stessi o di modificare le estensioni dei file, poiché ciò potrebbe rendere impossibile il recupero dei dati crittografati. Gli aggressori forniscono due indirizzi e-mail alle vittime per contattarli e inviare alcuni file per la decrittazione di prova: "wvpater@onionmail.org" e "wvpater1@onionmail.org".

La nota di riscatto contiene una minaccia che se il pagamento del riscatto non viene effettuato, gli aggressori lanceranno un altro attacco contro il sistema della vittima ed elimineranno tutti i dati dalle loro reti.

Il Rorschach Ransomware può infettare i sistemi Windows e Linux

Rorschach Ransomware è una minaccia sofisticata progettata per diffondersi automaticamente quando viene eseguita su un controller di dominio Windows (DC). Una volta eseguito, il ransomware crea un Criterio di gruppo, che gli consente di diffondersi su altre macchine all'interno del dominio. Questa funzione è stata precedentemente associata a un altro tipo di ransomware noto come LockBit 2.0.

Il Rorschach Ransomware è altamente flessibile e dispone di argomenti opzionali che gli consentono di adattarsi alle esigenze dell'operatore. Ha anche funzioni uniche, come l'uso di chiamate di sistema dirette utilizzando l'istruzione "syscall". Queste caratteristiche rendono molto difficile il rilevamento e la difesa.

Inoltre, il ransomware ha diverse opzioni integrate che sono nascoste e oscurate, rendendole accessibili solo attraverso il reverse engineering del malware. Ciò può essere inteso per comodità degli operatori.

Rorschach Ransomware utilizza un processo di crittografia ibrido che combina gli algoritmi curve25519 ed eSTREAM cipher hc-128 per crittografare i file della vittima. A differenza di altri ransomware, crittografa solo una certa parte del contenuto del file originale, anziché l'intero file. Ciò rende il processo di crittografia più rapido ed efficiente.

È importante notare che Rorschach Ransomware prende di mira sia i sistemi operativi Windows che Linux. Le varianti Linux di Rorschach hanno somiglianze con la minaccia Babuk Ransomware.

Il testo completo della richiesta di riscatto fornita da Rorschach Ransomware è:

'ID decrittazione:

Ciao, visto che stai leggendo questo significa che sei stato hackerato.
Oltre a crittografare tutti i tuoi sistemi, eliminando i backup, abbiamo anche scaricato le tue informazioni riservate.
Ecco cosa non dovresti fare:
1) Contatta la polizia, l'FBI o altre autorità prima della fine del nostro accordo.
2) Contatta la società di recupero in modo che conduca dialoghi con noi. (Questo può rallentare la ripresa e vanificare la nostra comunicazione). Non andare alle società di recupero, sono essenzialmente solo intermediari che ti faranno soldi e ti imbrogliano. Conosciamo bene i casi in cui le società di recupero ti dicono che il prezzo del riscatto è di 5 milioni di dollari, ma in realtà negoziano segretamente con noi per 1 milione di dollari, quindi guadagnano 4 milioni di dollari da te. Se ti rivolgessi a noi direttamente senza intermediari pagheresti 5 volte di meno, cioè 1 milione di dollari.
3) Non provare a decrittografare i file da solo, così come non modificare tu stesso l'estensione del file !!! Ciò può portare all'impossibilità della loro decrittazione.

Ecco cosa dovresti fare subito dopo averlo letto:
1) Se sei un dipendente ordinario, invia il nostro messaggio all'amministratore delegato dell'azienda, nonché al dipartimento IT.
2) Se sei un amministratore delegato, o uno specialista del reparto IT, o un'altra persona che ha peso nell'azienda, dovresti contattarci entro 24 ore via e-mail.

Se non paghi il riscatto, attaccheremo nuovamente la tua azienda in futuro. In poche settimane, ripeteremo semplicemente il nostro attacco ed elimineremo tutti i tuoi dati dalle tue reti, IL CHE PORTERÀ ALLA LORO NON DISPONIBILITÀ!

A garanzia della possibilità di decrittografare i file, ti suggeriamo di inviare diversi file per la decrittazione gratuita.
Mail per contattarci (Scrivi l'ID di decrittazione nel titolo del tuo messaggio):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'

Tendenza

I più visti

Caricamento in corso...