Rorschach Ransomware

Perisian tebusan yang dikenali sebagai Rorschach, atau BabLock, direka untuk menyulitkan fail dan menyasarkan perniagaan kecil hingga sederhana, serta organisasi perindustrian. Apabila Rorschach menjangkiti sistem, ia bukan sahaja menyulitkan data tetapi juga menambah rentetan aksara rawak diikuti dengan nombor dua digit pada akhir nama fail. Tujuan pengubahsuaian ini adalah untuk menyukarkan mangsa menyedari bahawa data mereka telah dikunci.

Rorschach juga menjatuhkan fail nota tebusan yang dipanggil '_r_e_a_d_m_e.txt' dan menukar latar belakang desktop semasa untuk menakutkan mangsa. Rentetan aksara rawak yang dilampirkan dan nombor dua digit mungkin berbeza-beza bergantung pada varian tertentu perisian tebusan.

Data yang Dipengaruhi oleh Rorschach Ransomware Menjadi Tidak Dapat Digunakan

Nota tebusan yang ditinggalkan oleh penyerang pada sistem yang dijangkiti berfungsi sebagai pemberitahuan bahawa sistem mereka telah dikompromi, data mereka telah disulitkan, dan sandaran mereka telah dipadamkan. Nota itu juga mungkin menyebut bahawa maklumat sulit telah dicuri oleh penyerang.

Nota tebusan biasanya mengarahkan mangsa supaya tidak menghubungi polis, FBI atau pihak berkuasa lain sehingga pembayaran tebusan dibuat. Ia juga mungkin tidak menggalakkan mangsa daripada menghubungi syarikat pemulihan data, mendakwa bahawa mereka adalah perantara yang akan mengenakan sejumlah wang yang besar tanpa memberikan sebarang bantuan.

Nota tebusan juga memberi amaran kepada mangsa agar tidak cuba menyahsulit fail itu sendiri atau mengubah suai sambungan fail, kerana ini mungkin menjadikannya mustahil untuk memulihkan data yang disulitkan. Penyerang menyediakan dua alamat e-mel untuk mangsa menghubungi mereka dan menghantar beberapa fail untuk penyahsulitan ujian - 'wvpater@onionmail.org' dan 'wvpater1@onionmail.org.'

Nota tebusan mengandungi ancaman bahawa jika pembayaran tebusan tidak dibuat, penyerang akan melancarkan serangan lain terhadap sistem mangsa dan memadam semua data daripada rangkaian mereka.

Rorschach Ransomware boleh Menjangkiti Sistem Windows dan Linux

Rorschach Ransomware ialah ancaman canggih yang direka untuk merebak secara automatik apabila dilaksanakan pada Pengawal Domain Windows (DC). Setelah dilaksanakan, perisian tebusan mencipta Dasar Kumpulan, yang membolehkannya merebak ke mesin lain dalam domain. Ciri ini sebelum ini telah dikaitkan dengan satu lagi jenis perisian tebusan yang dikenali sebagai LockBit 2.0.

Rorschach Ransomware adalah sangat fleksibel dan mempunyai hujah pilihan yang membolehkannya menyesuaikan diri dengan keperluan pengendali. Ia juga mempunyai fungsi unik, seperti penggunaan panggilan sistem langsung menggunakan arahan "syscall". Ciri-ciri ini menjadikannya sangat sukar untuk dikesan dan dipertahankan.

Selain itu, perisian tebusan mempunyai beberapa pilihan terbina dalam yang disembunyikan dan dikaburkan, menjadikannya boleh diakses hanya melalui kejuruteraan terbalik perisian hasad. Ini mungkin bertujuan untuk kemudahan pengendali.

Rorschach Ransomware menggunakan proses kriptografi hibrid yang menggabungkan algoritma curve25519 dan eSTREAM cipher hc-128 untuk menyulitkan fail mangsa. Tidak seperti perisian tebusan lain, ia hanya menyulitkan bahagian tertentu kandungan fail asal, bukannya keseluruhan fail. Ini menjadikan proses penyulitan lebih cepat dan lebih cekap.

Adalah penting untuk ambil perhatian bahawa Rorschach Ransomware menyasarkan kedua-dua sistem pengendalian Windows dan Linux. Varian Linux Rorschach mempunyai persamaan dengan ancaman Babuk Ransomware.

Teks penuh nota tebusan yang dihantar oleh Rorschach Ransomware ialah:

'ID Penyahsulitan:

Hai, sejak anda membaca ini bermakna anda telah digodam.
Selain menyulitkan semua sistem anda, memadamkan sandaran, kami juga memuat turun maklumat sulit anda.
Inilah perkara yang anda tidak patut lakukan:
1) Hubungi polis, fbi atau pihak berkuasa lain sebelum tamat perjanjian kami.
2) Hubungi syarikat pemulihan supaya mereka menjalankan dialog dengan kami. (Ini boleh melambatkan pemulihan, dan menyebabkan komunikasi kita menjadi sia-sia). Jangan pergi ke syarikat pemulihan, mereka pada asasnya hanya orang tengah yang akan membuat wang daripada anda dan menipu anda. Kami amat mengetahui kes di mana syarikat pemulihan memberitahu anda bahawa harga tebusan ialah 5 juta dolar, tetapi sebenarnya mereka secara rahsia berunding dengan kami untuk 1 juta dolar, jadi mereka memperoleh 4 juta dolar daripada anda. Jika anda menghubungi kami secara terus tanpa perantara, anda akan membayar 5 kali lebih rendah, iaitu 1 juta dolar.
3) Jangan cuba menyahsulit fail sendiri, dan juga jangan ubah sambungan fail sendiri !!! Ini boleh menyebabkan ketidakmungkinan penyahsulitan mereka.

Inilah yang perlu anda lakukan sebaik sahaja membacanya:
1) Jika anda seorang pekerja biasa, hantar mesej kami kepada Ketua Pegawai Eksekutif syarikat, dan juga kepada jabatan IT.
2) Jika anda seorang CEO, atau pakar dalam jabatan IT, atau orang lain yang mempunyai berat dalam syarikat, anda harus menghubungi kami dalam masa 24 jam melalui e-mel.

Jika anda tidak membayar wang tebusan, kami akan menyerang syarikat anda sekali lagi pada masa hadapan. Dalam beberapa minggu, kami hanya akan mengulangi serangan kami dan memadamkan semua data anda daripada rangkaian anda, YANG AKAN MEMBAWA KEPADA KETIDAKSEDIAAN MEREKA!

Sebagai jaminan bahawa kami boleh menyahsulit fail, kami mencadangkan anda menghantar beberapa fail untuk penyahsulitan percuma.
Mel untuk menghubungi kami (Tulis ID penyahsulitan dalam tajuk mesej anda):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'