Rorschach Ransomware

Løsepengevaren kjent som Rorschach, eller BabLock, er designet for å kryptere filer og målrette mot små og mellomstore bedrifter, så vel som industrielle organisasjoner. Når Rorschach infiserer et system, krypterer det ikke bare data, men legger også til en tilfeldig streng med tegn etterfulgt av et tosifret tall på slutten av filnavn. Hensikten med denne endringen er å gjøre det vanskeligere for ofre å legge merke til at dataene deres er låst.

Rorschach slipper også en løsepengefil kalt '_r_e_a_d_m_e.txt' og endrer gjeldende skrivebordsbakgrunn for å skremme offeret ytterligere. Den vedlagte strengen med tilfeldige tegn og det tosifrede tallet kan variere avhengig av den spesielle varianten av løsepengevaren.

Dataene som påvirkes av Rorschach Ransomware blir ubrukelige

Løseseddelen etterlatt av angriperne på det infiserte systemet fungerer som et varsel om at systemet deres er kompromittert, dataene deres er kryptert og sikkerhetskopiene deres er slettet. Notatet kan også nevne at konfidensiell informasjon er blitt stjålet av angriperne.

Løseseddelen instruerer vanligvis ofre om ikke å kontakte politiet, FBI eller andre myndigheter før løsepengeutbetalingen er utført. Det kan også fraråde ofre å kontakte datagjenopprettingsselskaper, og hevde at de er mellommenn som vil kreve en stor sum penger uten å yte noe hjelp.

Løsepengene advarer også ofrene om ikke å forsøke å dekryptere filene selv eller endre filtypene, da dette kan gjøre det umulig å gjenopprette de krypterte dataene. Angriperne oppgir to e-postadresser som ofrene kan kontakte dem og sende noen få filer for testdekryptering - 'wvpater@onionmail.org' og 'wvpater1@onionmail.org'.

Løsepengene inneholder en trussel om at hvis løsepengebetalingen ikke utføres, vil angriperne starte et nytt angrep mot offerets system og slette all data fra nettverkene deres.

Rorschach Ransomware kan infisere Windows- og Linux-systemer

Rorschach Ransomware er en sofistikert trussel som er designet for å spre seg automatisk når den kjøres på en Windows Domain Controller (DC). Når løsepengevaren er utført, oppretter den en gruppepolicy, som lar den spre seg til andre maskiner innenfor domenet. Denne funksjonen har tidligere vært assosiert med en annen type løsepengevare kjent som LockBit 2.0.

Rorschach Ransomware er svært fleksibel og har valgfrie argumenter som gjør det mulig å tilpasse seg operatørens behov. Den har også unike funksjoner, for eksempel bruk av direkte systemanrop ved å bruke "syscall"-instruksjonen. Disse funksjonene gjør det svært vanskelig å oppdage og forsvare seg mot.

I tillegg har løsepengevaren flere innebygde alternativer som er skjult og skjult, noe som gjør dem tilgjengelige kun gjennom omvendt utvikling av skadelig programvare. Dette kan være ment for operatørenes bekvemmelighet.

Rorschach Ransomware bruker en hybrid kryptografiprosess som kombinerer curve25519 og eSTREAM chiffer hc-128 algoritmer for å kryptere offerets filer. I motsetning til annen løsepengevare, krypterer den bare en viss del av det originale filinnholdet, i stedet for hele filen. Dette gjør krypteringsprosessen raskere og mer effektiv.

Det er viktig å merke seg at Rorschach Ransomware retter seg mot både Windows- og Linux-operativsystemer. Linux-variantene av Rorschach har likheter med Babuk Ransomware-trusselen.

Den fullstendige teksten til løsepengenotatet levert av Rorschach Ransomware er:

'Dekrypterings-ID:

Hei, siden du leser dette betyr det at du har blitt hacket.
I tillegg til å kryptere alle systemene dine, slette sikkerhetskopier, lastet vi også ned den konfidensielle informasjonen din.
Her er hva du ikke bør gjøre:
1) Kontakt politiet, fbi eller andre myndigheter før avtalen utløper.
2) Ta kontakt med bergingsselskapet slik at de ville føre dialoger med oss. (Dette kan bremse utvinningen, og gjøre kommunikasjonen vår til intet). Ikke gå til gjenvinningsselskaper, de er i hovedsak bare mellommenn som vil tjene penger på deg og jukse deg. Vi er godt klar over tilfeller der gjenvinningsselskaper forteller deg at løsepengeprisen er 5 millioner dollar, men faktisk forhandler de i hemmelighet med oss for 1 million dollar, så de tjener 4 millioner dollar på deg. Hvis du henvendte deg direkte til oss uten mellommenn, ville du betale 5 ganger mindre, det vil si 1 million dollar.
3) Ikke prøv å dekryptere filene selv, samt ikke endre filtypen selv !!! Dette kan føre til umuligheten av deres dekryptering.

Her er hva du bør gjøre rett etter å ha lest den:
1) Hvis du er en ordinær ansatt, send vår melding til administrerende direktør i selskapet, samt til IT-avdelingen.
2) Hvis du er administrerende direktør, eller spesialist i IT-avdelingen, eller en annen person som har tyngde i selskapet, bør du kontakte oss innen 24 timer på e-post.

Hvis du ikke betaler løsepengene, vil vi angripe bedriften din igjen i fremtiden. Om noen uker vil vi ganske enkelt gjenta angrepet vårt og slette alle dataene dine fra nettverkene dine, SOM VIL FØRE TIL UTILGJENGELIGHETEN!

Som en garanti for at vi kan dekryptere filene, foreslår vi at du sender flere filer for gratis dekryptering.
E-post for å kontakte oss (Skriv dekrypterings-ID-en i tittelen på meldingen):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'