Rorschach Ransomware

Rorschach 또는 BabLock으로 알려진 랜섬웨어는 파일을 암호화하고 중소기업과 산업 조직을 대상으로 설계되었습니다. Rorschach가 시스템을 감염시키면 데이터를 암호화할 뿐만 아니라 파일 이름 끝에 두 자리 숫자가 뒤따르는 임의의 문자열을 추가합니다. 이 수정의 목적은 피해자가 자신의 데이터가 잠긴 것을 알아차리기 어렵게 만드는 것입니다.

Rorschach는 또한 '_r_e_a_d_m_e.txt'라는 랜섬 노트 파일을 드롭하고 현재 바탕 화면 배경을 변경하여 피해자를 더욱 위협합니다. 추가된 임의의 문자열과 두 자리 숫자는 랜섬웨어의 특정 변종에 따라 다를 수 있습니다.

Rorschach 랜섬웨어의 영향을 받은 데이터를 사용할 수 없게 됨

공격자가 감염된 시스템에 남긴 몸값 메모는 시스템이 손상되었고 데이터가 암호화되었으며 백업이 삭제되었다는 알림 역할을 합니다. 메모에는 공격자가 기밀 정보를 도난당했다고 언급할 수도 있습니다.

몸값 메모는 일반적으로 피해자에게 몸값을 지불할 때까지 경찰, FBI 또는 기타 당국에 연락하지 말라고 지시합니다. 또한 피해자가 도움을 제공하지 않고 많은 금액을 청구하는 중개인이라고 주장하면서 데이터 복구 회사에 연락하는 것을 꺼릴 수 있습니다.

랜섬 노트는 또한 피해자에게 파일 자체를 해독하거나 파일 확장자를 수정하려고 시도하지 말라고 경고합니다. 이렇게 하면 암호화된 데이터를 복구할 수 없게 될 수 있기 때문입니다. 공격자는 피해자가 연락할 수 있는 두 개의 이메일 주소를 제공하고 테스트 암호 해독을 위해 'wvpater@onionmail.org' 및 'wvpater1@onionmail.org'라는 몇 개의 파일을 보냅니다.

랜섬 노트에는 몸값을 지불하지 않으면 공격자가 피해자의 시스템에 대해 또 다른 공격을 시작하고 네트워크에서 모든 데이터를 삭제할 것이라는 위협이 포함되어 있습니다.

Rorschach 랜섬웨어는 Windows 및 Linux 시스템을 감염시킬 수 있습니다.

Rorschach 랜섬웨어는 Windows 도메인 컨트롤러(DC)에서 실행될 때 자동으로 확산되도록 설계된 정교한 위협입니다. 랜섬웨어가 실행되면 그룹 정책을 생성하여 도메인 내의 다른 시스템으로 확산될 수 있습니다. 이 기능은 이전에 LockBit 2.0으로 알려진 다른 유형의 랜섬웨어와 관련이 있었습니다.

Rorschach 랜섬웨어는 매우 유연하며 운영자의 요구에 적응할 수 있는 선택적 인수가 있습니다. 또한 "syscall" 명령을 사용하여 직접 시스템 호출을 사용하는 것과 같은 고유한 기능도 있습니다. 이러한 기능으로 인해 탐지하고 방어하기가 매우 어렵습니다.

또한 이 랜섬웨어에는 숨겨지고 가려진 몇 가지 기본 제공 옵션이 있어 맬웨어를 리버스 엔지니어링을 통해서만 액세스할 수 있습니다. 이는 운영자의 편의를 위한 것일 수 있습니다.

Rorschach 랜섬웨어는 curve25519와 eSTREAM 암호 hc-128 알고리즘을 결합한 하이브리드 암호화 프로세스를 사용하여 피해자의 파일을 암호화합니다. 다른 랜섬웨어와 달리 전체 파일이 아닌 원본 파일 내용의 특정 부분만 암호화합니다. 이렇게 하면 암호화 프로세스가 더 빠르고 효율적으로 진행됩니다.

Rorschach 랜섬웨어는 Windows 및 Linux 운영 체제를 모두 대상으로 한다는 점에 유의해야 합니다. Rorschach의 Linux 변종은 Babuk 랜섬웨어 위협과 유사합니다.

Rorschach Ransomware가 전달한 랜섬 노트의 전문은 다음과 같습니다.

'복호화 ID:

안녕하세요, 당신이 이것을 읽고 있기 때문에 그것은 당신이 해킹 당했다는 것을 의미합니다.
모든 시스템을 암호화하고 백업을 삭제하는 것 외에도 기밀 정보도 다운로드했습니다.
하지 말아야 할 것은 다음과 같습니다.
1) 거래가 끝나기 전에 경찰, FBI 또는 기타 당국에 연락하십시오.
2) 복구 회사에 연락하여 저희와 대화를 진행하도록 하십시오. (이렇게 하면 복구 속도가 느려지고 통신이 중단될 수 있습니다.) 복구 업체에 가지 마세요. 그들은 본질적으로 당신을 속이고 돈을 벌고 속이는 중개인 일뿐입니다. 복구 업체가 몸값이 500 만 달러라고 말하지만 실제로는 비밀리에 협상하는 경우를 잘 알고 있습니다. 우리에게 100만 달러를 주고 그들은 당신에게서 400만 달러를 벌었습니다. 중개자 없이 우리에게 직접 접근하면 5배 적은 100만 달러를 지불하게 됩니다.
3) 파일을 직접 해독하려고 시도하지 말고 파일 확장자를 직접 변경하지 마십시오 !!! 이로 인해 암호 해독이 불가능할 수 있습니다.

읽은 후 바로 해야 할 일은 다음과 같습니다.
1) 일반 직원인 경우 회사의 CEO와 IT 부서에 메시지를 보내십시오.
2) CEO이거나 IT 부서의 전문가이거나 회사에서 비중이 있는 다른 사람이라면 24시간 이내에 이메일로 연락해야 합니다.

몸값을 지불하지 않으면 향후 귀사를 다시 공격할 것입니다. 몇 주 안에 공격을 반복하고 네트워크에서 모든 데이터를 삭제할 것입니다. 그러면 사용할 수 없게 됩니다!

파일을 해독할 수 있다는 보장으로 무료 해독을 위해 여러 파일을 보내는 것이 좋습니다.
저희에게 연락할 메일(메시지 제목에 암호 해독 ID를 기입하십시오):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'