Vairāku licenču atlaides
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:
Latviešu

Izpirkuma programmatūra, kas pazīstama kā Rorschach jeb BabLock, ir paredzēta failu šifrēšanai un paredzēta maziem un vidējiem uzņēmumiem, kā arī rūpniecības organizācijām. Kad Rorschach inficē sistēmu, tā ne tikai šifrē datus, bet arī pievieno nejaušu rakstzīmju virkni, kam seko divciparu skaitlis failu nosaukumu beigās. Šīs modifikācijas mērķis ir apgrūtināt cietušajiem pamanīt, ka viņu dati ir bloķēti.

Rorschach arī pamet izpirkuma piezīmju failu ar nosaukumu “_r_e_a_d_m_e.txt” un maina pašreizējo darbvirsmas fonu, lai vēl vairāk iebiedētu upuri. Pievienotā nejaušo rakstzīmju virkne un divciparu skaitlis var atšķirties atkarībā no konkrētā izpirkuma programmatūras varianta.

Rorschach Ransomware ietekmētie dati kļūst nelietojami

Uzbrucēju atstātā izpirkuma piezīme inficētajā sistēmā kalpo kā paziņojums, ka viņu sistēma ir uzlauzta, viņu dati ir šifrēti un dublējumkopijas ir izdzēstas. Piezīmē var arī norādīt, ka uzbrucēji ir nozaguši konfidenciālu informāciju.

Izpirkuma vēstulē upuriem parasti ir norādīts nesazināties ar policiju, FIB vai citām iestādēm, kamēr nav veikts izpirkuma maksājums. Tas var arī atturēt upurus no sazināties ar datu atkopšanas uzņēmumiem, apgalvojot, ka tie ir starpnieki, kas iekasēs lielu naudas summu, nesniedzot nekādu palīdzību.

Izpirkuma piezīme arī brīdina upurus nemēģināt pašus atšifrēt failus vai modificēt failu paplašinājumus, jo tas var padarīt neiespējamu šifrēto datu atkopšanu. Uzbrucēji nodrošina divas e-pasta adreses, kurās upuri var sazināties ar viņiem, un nosūtīt dažus failus pārbaudes atšifrēšanai — “wvpater@onionmail.org” un “wvpater1@onionmail.org”.

Izpirkuma piezīme satur draudus, ka gadījumā, ja izpirkuma maksa netiks veikta, uzbrucēji veiks vēl vienu uzbrukumu upura sistēmai un izdzēsīs visus datus no saviem tīkliem.

Rorschach Ransomware var inficēt Windows un Linux sistēmas

Rorschach Ransomware ir sarežģīts drauds, kas paredzēts, lai automātiski izplatītos, kad tas tiek izpildīts Windows domēna kontrollerī (DC). Kad izspiedējprogrammatūra ir izpildīta, tā izveido grupas politiku, kas ļauj tai izplatīties uz citām iekārtām domēnā. Šī funkcija iepriekš ir bijusi saistīta ar cita veida izspiedējprogrammatūru, kas pazīstama kā LockBit 2.0.

Rorschach Ransomware ir ļoti elastīga, un tai ir izvēles argumenti, kas ļauj tai pielāgoties operatora vajadzībām. Tam ir arī unikālas funkcijas, piemēram, tiešo sistēmas zvanu izmantošana, izmantojot instrukciju "syscall". Šīs funkcijas ļoti apgrūtina atklāšanu un aizsardzību pret to.

Turklāt izspiedējprogrammatūrai ir vairākas iebūvētas opcijas, kas ir paslēptas un aizklātas, padarot tās pieejamas, tikai veicot ļaunprātīgas programmatūras reversās inženierijas palīdzību. Tas var būt paredzēts operatoru ērtībām.

Rorschach Ransomware izmanto hibrīda kriptogrāfijas procesu, kas apvieno curve25519 un eSTREAM šifrēšanas hc-128 algoritmus, lai šifrētu upura failus. Atšķirībā no citām izpirkuma programmām, tā šifrē tikai noteiktu daļu no sākotnējā faila satura, nevis visu failu. Tas padara šifrēšanas procesu ātrāku un efektīvāku.

Ir svarīgi atzīmēt, ka Rorschach Ransomware ir paredzēts gan Windows, gan Linux operētājsistēmām. Rorschach Linux variantiem ir līdzības ar Babuk Ransomware draudiem.

Rorschach Ransomware piegādātās izpirkuma naudas pilns teksts ir:

"Atšifrēšanas ID:

Sveiki, tā kā jūs lasāt šo, tas nozīmē, ka esat uzlauzts.
Papildus visu jūsu sistēmu šifrēšanai, dublējumu dzēšanai mēs arī lejupielādējām jūsu konfidenciālo informāciju.
Lūk, ko nevajadzētu darīt:
1) Pirms mūsu darījuma beigām sazinieties ar policiju, FBI vai citām iestādēm.
2) Sazinieties ar piedziņas uzņēmumu, lai viņi ar mums sarunātos. (Tas var palēnināt atveseļošanos un izjaukt mūsu saziņu). Negriezieties pie atgūšanas uzņēmumiem, tie būtībā ir tikai starpnieki, kas no jums pelnīs naudu un jūs apkrāps. Mēs labi zinām gadījumus, kad piedziņas uzņēmumi jums saka, ka izpirkuma maksa ir 5 miljoni dolāru, bet patiesībā viņi slepeni vienojas ar mums par 1 miljonu dolāru, tāpēc viņi no jums nopelna 4 miljonus dolāru. Ja jūs vērsāties pie mums tieši bez starpniekiem, jūs maksātu 5 reizes mazāk, tas ir, 1 miljons dolāru.
3) Nemēģiniet pats atšifrēt failus, kā arī nemainiet faila paplašinājumu pats !!! Tas var izraisīt to atšifrēšanas neiespējamību.

Lūk, kas jums jādara tūlīt pēc tā izlasīšanas:
1) Ja esat parasts darbinieks, nosūtiet mūsu ziņojumu uzņēmuma izpilddirektoram, kā arī IT nodaļai.
2) Ja esat izpilddirektors vai IT nodaļas speciālists, vai cita persona, kurai uzņēmumā ir liels svars, jums jāsazinās ar mums 24 stundu laikā pa e-pastu.

Ja jūs nesamaksāsiet izpirkuma maksu, mēs nākotnē uzbruksim jūsu uzņēmumam vēlreiz. Pēc dažām nedēļām mēs vienkārši atkārtosim uzbrukumu un izdzēsīsim visus jūsu datus no jūsu tīkliem, KAS NOVEKS PIE TO NEPIEEJAMĪBAS!

Lai garantētu, ka mēs varam atšifrēt failus, mēs iesakām nosūtīt vairākus failus bezmaksas atšifrēšanai.
Vēstules, lai sazinātos ar mums (ziņojuma virsrakstā ierakstiet atšifrēšanas ID):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
15,882
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...