Kelių licencijų nuolaidos
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

Autorius Mezo, Ransomware
Versti į:
Lietuvių

Išpirkos reikalaujanti programa, žinoma kaip Rorschach arba BabLock, skirta failams užšifruoti ir nukreipti į mažas ir vidutines įmones bei pramonės organizacijas. Kai Rorschach užkrečia sistemą, ji ne tik užšifruoja duomenis, bet ir prideda atsitiktinę simbolių eilutę, po kurios failų pavadinimų pabaigoje yra dviženklis skaičius. Šio pakeitimo tikslas – apsunkinti nukentėjusiųjų pastebėjimą, kad jų duomenys buvo užrakinti.

Rorschachas taip pat atsisako išpirkos užrašo failo pavadinimu „_r_e_a_d_m_e.txt“ ir pakeičia esamą darbalaukio foną, kad dar labiau įbaugintų auką. Pridedama atsitiktinių simbolių eilutė ir dviženklis skaičius gali skirtis priklausomai nuo konkretaus išpirkos reikalaujančios programos varianto.

Duomenys, kuriuos paveikė Rorschach Ransomware, tampa netinkami naudoti

Užsikrėtusiųjų užkrėstoje sistemoje paliktas išpirkos raštas yra pranešimas, kad jų sistema buvo pažeista, duomenys užšifruoti, o atsarginės kopijos ištrintos. Pastaboje taip pat gali būti paminėta, kad užpuolikai pavogė konfidencialią informaciją.

Išpirkos raštelyje aukoms paprastai nurodoma nesikreipti į policiją, FTB ar kitas institucijas, kol nebus sumokėta išpirka. Tai taip pat gali atgrasyti aukas nuo kreiptis į duomenų atkūrimo įmones, nes jos yra tarpininkai, kurie ims didelę pinigų sumą, nesuteikdami jokios pagalbos.

Išpirkos raštelis taip pat įspėja aukas nebandyti iššifruoti pačių failų ar modifikuoti failų plėtinių, nes dėl to gali būti neįmanoma atkurti užšifruotų duomenų. Užpuolikai pateikia du el. pašto adresus, kad aukos galėtų su jomis susisiekti, ir atsiunčia kelis failus bandomajam iššifravimui – „wvpater@onionmail.org“ ir „wvpater1@onionmail.org“.

Išpirkos raštelyje yra grasinimas, kad nesumokėjus išpirkos, užpuolikai pradės dar vieną ataką prieš aukos sistemą ir ištrins visus duomenis iš savo tinklų.

„Rorschach Ransomware“ gali užkrėsti „Windows“ ir „Linux“ sistemas

„Rorschach Ransomware“ yra sudėtinga grėsmė, kuri sukurta automatiškai plisti, kai vykdoma „Windows“ domeno valdiklyje (DC). Įvykdžiusi išpirkos reikalaujanti programa sukuria grupės strategiją, kuri leidžia jai išplisti į kitus domeno įrenginius. Ši funkcija anksčiau buvo siejama su kito tipo išpirkos programine įranga, žinoma kaip LockBit 2.0.

„Rorschach Ransomware“ yra labai lanksti ir turi papildomų argumentų, leidžiančių prisitaikyti prie operatoriaus poreikių. Jis taip pat turi unikalių funkcijų, tokių kaip tiesioginių sistemos skambučių naudojimas naudojant "syscall" instrukcijas. Dėl šių savybių labai sunku aptikti ir apsiginti.

Be to, išpirkos reikalaujančioje programoje yra keletas įmontuotų parinkčių, kurios yra paslėptos ir uždengtos, todėl jas galima pasiekti tik apgręžus kenkėjišką programą. Tai gali būti skirta operatorių patogumui.

Rorschach Ransomware naudoja hibridinį kriptografijos procesą, kuris sujungia curve25519 ir eSTREAM šifro hc-128 algoritmus, kad užšifruotų aukos failus. Skirtingai nuo kitų išpirkos reikalaujančių programų, ji užšifruoja tik tam tikrą pradinio failo turinio dalį, o ne visą failą. Tai daro šifravimo procesą greitesnį ir efektyvesnį.

Svarbu pažymėti, kad „Rorschach Ransomware“ taikoma tiek „Windows“, tiek „Linux“ operacinėms sistemoms. Rorschach Linux variantai turi panašumų su Babuk Ransomware grėsme.

Visas Rorschach Ransomware pateikto išpirkos rašto tekstas yra:

„Iššifravimo ID:

Sveiki, kadangi jūs tai skaitote, tai reiškia, kad į jus buvo įsilaužta.
Be visų jūsų sistemų šifravimo, atsarginių kopijų ištrynimo, taip pat atsisiuntėme jūsų konfidencialią informaciją.
Štai ko neturėtumėte daryti:
1) Susisiekite su policija, FBI ar kitomis institucijomis prieš pasibaigiant mūsų sandoriui.
2) Susisiekite su išieškojimo įmone, kad ji pradėtų dialogą su mumis. (Tai gali sulėtinti atsigavimą ir padaryti mūsų bendravimą niekais). Nesikreipkite į išieškojimo įmones, jos iš esmės yra tik tarpininkai, kurie iš jūsų uždirbs pinigų ir jus apgaudinės. Mes puikiai žinome atvejus, kai išieškojimo įmonės jums sako, kad išpirkos kaina yra 5 milijonai dolerių, tačiau iš tikrųjų jos slapta derasi su mums už 1 milijoną dolerių, taigi jie iš jūsų uždirba 4 milijonus dolerių. Jei kreiptumėtės į mus tiesiogiai be tarpininkų, sumokėtumėte 5 kartus mažiau, tai yra 1 milijonas dolerių.
3) Nebandykite patys iššifruoti failų, taip pat patys nekeiskite failo plėtinio !!! Dėl to jų iššifravimas gali būti neįmanomas.

Štai ką turėtumėte padaryti iškart perskaitę:
1) Jei esate paprastas darbuotojas, siųskite mūsų žinutę įmonės generaliniam direktoriui, taip pat IT skyriui.
2) Jei esate generalinis direktorius, IT skyriaus specialistas ar kitas asmuo, turintis svorio įmonėje, per 24 valandas turėtumėte susisiekti su mumis el.

Jei nesumokėsite išpirkos, ateityje vėl atakuosime jūsų įmonę. Po kelių savaičių mes tiesiog pakartosime savo puolimą ir ištrinsime visus jūsų duomenis iš jūsų tinklų, TO DĖL JŲ NEPASIEKIAME!

Norėdami garantuoti, kad galime iššifruoti failus, siūlome nemokamai iššifruoti kelis failus.
Laiškai susisiekti su mumis (pranešimo pavadinime įrašykite iššifravimo ID):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
15,882
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...