Rorschach Ransomware

Rorschach, वा BabLock को रूपमा चिनिने ransomware, फाइलहरू इन्क्रिप्ट गर्न र सानादेखि मध्यम आकारका व्यवसायहरू, साथै औद्योगिक संस्थाहरूलाई लक्षित गर्न डिजाइन गरिएको हो। जब Rorschach ले प्रणालीलाई संक्रमित गर्छ, यसले डाटा मात्र इन्क्रिप्ट गर्दैन तर फाइलनामहरूको अन्त्यमा दुई-अङ्कको संख्या पछि क्यारेक्टरहरूको अनियमित स्ट्रिङ थप्छ। यस परिमार्जनको उद्देश्य पीडितहरूलाई उनीहरूको डाटा लक भएको थाहा पाउन अझ गाह्रो बनाउनु हो।

Rorschach ले '_r_e_a_d_m_e.txt' नामक फिरौती नोट फाइल पनि छोड्छ र पीडितलाई थप डराउनको लागि हालको डेस्कटप पृष्ठभूमि परिवर्तन गर्दछ। ransomware को विशेष प्रकार को आधार मा अनियमित वर्ण र दुई अंक संख्या को जोडिएको स्ट्रिङ फरक हुन सक्छ।

Rorschach Ransomware द्वारा प्रभावित डाटा अनुपयोगी हुन्छ

संक्रमित प्रणालीमा आक्रमणकारीहरूले छोडेको फिरौती नोटले उनीहरूको प्रणालीमा सम्झौता गरिएको छ, तिनीहरूको डेटा इन्क्रिप्ट गरिएको छ, र तिनीहरूको ब्याकअपहरू मेटाइएको छ भन्ने सूचनाको रूपमा कार्य गर्दछ। नोटमा आक्रमणकारीहरूले गोप्य जानकारी चोरेको पनि उल्लेख गर्न सक्छ।

फिरौतीको नोटले सामान्यतया पीडितहरूलाई फिरौती भुक्तानी नगरेसम्म पुलिस, FBI वा अन्य अधिकारीहरूसँग सम्पर्क नगर्न निर्देशन दिन्छ। यसले पीडितहरूलाई डाटा रिकभरी कम्पनीहरूसँग सम्पर्क गर्न पनि निरुत्साहित गर्न सक्छ, उनीहरू मध्यस्थकर्ताहरू हुन् जसले कुनै पनि सहायता प्रदान नगरी ठूलो रकम लिनेछन् भन्ने दाबी गर्छन्।

फिरौती नोटले पीडितहरूलाई फाइलहरू आफैं डिक्रिप्ट गर्ने वा फाइल विस्तारहरू परिमार्जन गर्ने प्रयास नगर्न चेतावनी दिन्छ, किनकि यसले इन्क्रिप्टेड डाटा रिकभर गर्न असम्भव बनाउन सक्छ। आक्रमणकारीहरूले पीडितहरूलाई उनीहरूलाई सम्पर्क गर्न र परीक्षण डिक्रिप्शनको लागि केही फाइलहरू पठाउन दुई इमेल ठेगानाहरू प्रदान गर्छन् - 'wvpater@onionmail.org' र 'wvpater1@onionmail.org।'

फिरौतीको नोटमा फिरौती भुक्तानी नगरिएमा आक्रमणकारीहरूले पीडितको प्रणाली विरुद्ध अर्को आक्रमण गर्ने र तिनीहरूको नेटवर्कबाट सबै डाटा मेटाउने धम्की समावेश गरिएको छ।

Rorschach Ransomware ले विन्डोज र लिनक्स प्रणालीहरूलाई संक्रमित गर्न सक्छ

Rorschach Ransomware एक परिष्कृत खतरा हो जुन Windows डोमेन कन्ट्रोलर (DC) मा कार्यान्वयन गर्दा स्वचालित रूपमा फैलाउन डिजाइन गरिएको हो। एक पटक कार्यान्वयन भएपछि, ransomware ले समूह नीति सिर्जना गर्दछ, जसले यसलाई डोमेन भित्र अन्य मेसिनहरूमा फैलाउन अनुमति दिन्छ। यो सुविधा पहिले लकबिट २.० को रूपमा चिनिने अर्को प्रकारको ransomware सँग सम्बन्धित छ।

Rorschach Ransomware अत्यधिक लचिलो छ र यसमा वैकल्पिक तर्कहरू छन् जसले यसलाई अपरेटरको आवश्यकताहरू अनुकूल गर्न सक्षम बनाउँछ। योसँग अद्वितीय कार्यहरू पनि छन्, जस्तै "syscall" निर्देशन प्रयोग गरेर प्रत्यक्ष प्रणाली कलहरूको प्रयोग। यी सुविधाहरूले पत्ता लगाउन र विरुद्ध रक्षा गर्न धेरै गाह्रो बनाउँछ।

थप रूपमा, ransomware सँग धेरै बिल्ट-इन विकल्पहरू छन् जुन लुकाइएका र अस्पष्ट छन्, तिनीहरूलाई केवल मालवेयर रिभर्स-इन्जिनियरिङ मार्फत पहुँचयोग्य बनाउँदछ। यो अपरेटरहरूको सुविधाको लागि अभिप्रेरित हुन सक्छ।

Rorschach Ransomware ले शिकारका फाइलहरू इन्क्रिप्ट गर्न curve25519 र eSTREAM साइफर hc-128 एल्गोरिदमहरू संयोजन गर्ने हाइब्रिड क्रिप्टोग्राफी प्रक्रिया प्रयोग गर्दछ। अन्य ransomware जस्तो नभई, यसले सम्पूर्ण फाइलको सट्टा मूल फाइल सामग्रीको एक निश्चित भागलाई मात्र इन्क्रिप्ट गर्दछ। यसले इन्क्रिप्शन प्रक्रियालाई छिटो र अधिक कुशल बनाउँछ।

यो नोट गर्न महत्त्वपूर्ण छ कि Rorschach Ransomware ले विन्डोज र लिनक्स अपरेटिङ सिस्टम दुवैलाई लक्षित गर्दछ। Rorschach को लिनक्स भेरियन्टहरू Babuk Ransomware खतरासँग समानताहरू छन्।

Rorschach Ransomware द्वारा डेलिभर गरिएको फिरौती नोटको पूर्ण पाठ हो:

'डिक्रिप्शन आईडी:

नमस्ते, तपाईले यो पढिरहनु भएकोले तपाईलाई ह्याक गरिएको छ भन्ने अर्थ छ।
तपाईंका सबै प्रणालीहरू इन्क्रिप्ट गर्ने, ब्याकअपहरू मेटाउने अतिरिक्त, हामीले तपाईंको गोप्य जानकारी पनि डाउनलोड गर्यौं।
तपाईंले गर्न नहुने कुराहरू यहाँ छन्:
1) हाम्रो सम्झौता समाप्त हुनु अघि पुलिस, fbi वा अन्य अधिकारीहरूलाई सम्पर्क गर्नुहोस्।
2) रिकभरी कम्पनीलाई सम्पर्क गर्नुहोस् ताकि तिनीहरूले हामीसँग संवादहरू सञ्चालन गर्नेछन्। (यसले रिकभरीलाई ढिलो गर्न सक्छ, र हाम्रो सञ्चारलाई शून्यमा राख्न सक्छ)। रिकभरी कम्पनीहरूमा नजानुहोस्, तिनीहरू मूलतया केवल बिचौलियाहरू हुन् जसले तपाईंलाई पैसा कमाउँछन् र तपाईंलाई ठगी गर्छन्। हामीलाई रिकभरी कम्पनीहरूले फिरौतीको मूल्य 5 मिलियन डलर छ भनी बताएको घटनाहरू बारे राम्ररी थाहा छ, तर वास्तवमा तिनीहरू गोप्य रूपमा वार्ता गर्छन्। हामीलाई 1 मिलियन डलरको लागि, त्यसैले तिनीहरूले तपाईबाट 4 मिलियन डलर कमाउँछन्। यदि तपाईंले बिचौलियाहरू बिना हामीलाई सीधै सम्पर्क गर्नुभयो भने तपाईंले 5 गुणा कम तिर्नुहुनेछ, त्यो 1 मिलियन डलर हो।
3) फाइलहरू आफैं डिक्रिप्ट गर्ने प्रयास नगर्नुहोस्, साथै फाइल विस्तार आफैं परिवर्तन नगर्नुहोस् !!! यसले तिनीहरूको डिक्रिप्शनको असम्भव निम्त्याउन सक्छ।

पढिसकेपछि तपाईले के गर्नु पर्छ यहाँ छ:
1) यदि तपाईं एक सामान्य कर्मचारी हुनुहुन्छ भने, हाम्रो सन्देश कम्पनीका CEO, साथै IT विभागलाई पठाउनुहोस्।
2) यदि तपाईं सीईओ हुनुहुन्छ, वा आईटी विभागमा विशेषज्ञ हुनुहुन्छ, वा कम्पनीमा वजन भएको अर्को व्यक्ति हुनुहुन्छ भने, तपाईंले हामीलाई इमेल मार्फत 24 घण्टा भित्र सम्पर्क गर्नुपर्छ।

यदि तपाईंले फिरौती तिर्नुभएन भने, हामी भविष्यमा तपाईंको कम्पनीलाई फेरि आक्रमण गर्नेछौं। केही हप्तामा, हामी केवल हाम्रो आक्रमण दोहोर्याउनेछौं र तपाईंको नेटवर्कहरूबाट तपाईंको सबै डाटा मेटाउनेछौं, जसले तिनीहरूको अनुपलब्धतामा नेतृत्व गर्नेछ!

हामी फाइलहरू डिक्रिप्ट गर्न सक्छौं भन्ने ग्यारेन्टीको रूपमा, हामी तपाईंलाई नि:शुल्क डिक्रिप्शनका लागि धेरै फाइलहरू पठाउन सुझाव दिन्छौं।
हामीलाई सम्पर्क गर्नका लागि मेलहरू (तपाईंको सन्देशको शीर्षकमा डिक्रिप्शन आईडी लेख्नुहोस्):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'