Rorschach-ransomware

De ransomware die bekend staat als Rorschach, of BabLock, is ontworpen om bestanden te versleutelen en is gericht op kleine tot middelgrote bedrijven, maar ook op industriële organisaties. Wanneer Rorschach een systeem infecteert, versleutelt het niet alleen gegevens, maar voegt het ook een willekeurige reeks tekens toe, gevolgd door een tweecijferig getal aan het einde van bestandsnamen. Het doel van deze wijziging is om het voor slachtoffers moeilijker te maken om te merken dat hun gegevens zijn vergrendeld.

Rorschach laat ook een losgeldbriefje achter met de naam '_r_e_a_d_m_e.txt' en verandert de huidige bureaubladachtergrond om het slachtoffer verder te intimideren. De toegevoegde reeks willekeurige tekens en het tweecijferige nummer kunnen variëren, afhankelijk van de specifieke variant van de ransomware.

De gegevens die worden beïnvloed door de Rorschach Ransomware worden onbruikbaar

Het losgeldbriefje dat door de aanvallers op het geïnfecteerde systeem is achtergelaten, dient als een melding dat hun systeem is gehackt, dat hun gegevens zijn versleuteld en dat hun back-ups zijn verwijderd. De notitie kan ook vermelden dat vertrouwelijke informatie is gestolen door de aanvallers.

De losgeldbrief geeft de slachtoffers meestal de instructie om geen contact op te nemen met de politie, de FBI of andere autoriteiten totdat het losgeld is betaald. Het kan slachtoffers ook ontmoedigen om contact op te nemen met bedrijven voor gegevensherstel, omdat ze beweren dat ze tussenpersonen zijn die een groot bedrag in rekening brengen zonder enige hulp te bieden.

De losgeldbrief waarschuwt slachtoffers ook om niet te proberen de bestanden zelf te decoderen of de bestandsextensies te wijzigen, omdat dit het onmogelijk kan maken om de gecodeerde gegevens te herstellen. De aanvallers geven slachtoffers twee e-mailadressen om contact met hen op te nemen en een paar bestanden te sturen voor testdecodering: 'wvpater@onionmail.org' en 'wvpater1@onionmail.org'.

De losgeldbrief bevat de dreiging dat als het losgeld niet wordt betaald, de aanvallers een nieuwe aanval op het systeem van het slachtoffer zullen lanceren en alle gegevens van hun netwerken zullen verwijderen.

De Rorschach Ransomware kan Windows- en Linux-systemen infecteren

De Rorschach Ransomware is een geavanceerde bedreiging die is ontworpen om zich automatisch te verspreiden wanneer deze wordt uitgevoerd op een Windows Domain Controller (DC). Eenmaal uitgevoerd, maakt de ransomware een groepsbeleid aan, waardoor het zich kan verspreiden naar andere machines binnen het domein. Deze functie is eerder in verband gebracht met een ander type ransomware dat bekend staat als LockBit 2.0.

De Rorschach Ransomware is zeer flexibel en heeft optionele argumenten die het mogelijk maken om zich aan te passen aan de behoeften van de operator. Het heeft ook unieke functies, zoals het gebruik van directe systeemaanroepen met behulp van de "syscall"-instructie. Deze functies maken het erg moeilijk om op te sporen en ertegen te verdedigen.

Bovendien heeft de ransomware verschillende ingebouwde opties die verborgen en verborgen zijn, waardoor ze alleen toegankelijk zijn via reverse-engineering van de malware. Dit kan bedoeld zijn voor het gemak van de operators.

De Rorschach Ransomware gebruikt een hybride cryptografieproces dat de algoritmen curve25519 en eSTREAM cipher hc-128 combineert om de bestanden van het slachtoffer te versleutelen. In tegenstelling tot andere ransomware versleutelt het alleen een bepaald deel van de originele bestandsinhoud, in plaats van het hele bestand. Dit maakt het coderingsproces sneller en efficiënter.

Het is belangrijk op te merken dat de Rorschach Ransomware zich richt op zowel Windows- als Linux-besturingssystemen. De Linux-varianten van Rorschach hebben overeenkomsten met de Babuk Ransomware-dreiging.

De volledige tekst van de losgeldbrief geleverd door Rorschach Ransomware is:

'Decryptie-ID:

Hoi, aangezien je dit leest, betekent dit dat je gehackt bent.
Naast het versleutelen van al uw systemen en het verwijderen van back-ups, hebben we ook uw vertrouwelijke informatie gedownload.
Dit is wat u niet moet doen:
1) Neem voor het einde van onze deal contact op met de politie, fbi of andere autoriteiten.
2) Neem contact op met het bergingsbedrijf zodat zij met ons in gesprek gaan. (Dit kan het herstel vertragen en onze communicatie op nul zetten). Ga niet naar bergingsbedrijven, dit zijn in wezen slechts tussenpersonen die geld aan u zullen verdienen en u bedriegen. We zijn goed op de hoogte van gevallen waarin bergingsbedrijven u vertellen dat het losgeld 5 miljoen dollar is, maar in feite onderhandelen ze ons voor 1 miljoen dollar, dus verdienen ze 4 miljoen dollar aan jou. Als u ons rechtstreeks zou benaderen zonder tussenpersonen, zou u 5 keer minder betalen, dat is 1 miljoen dollar.
3) Probeer de bestanden niet zelf te decoderen en verander ook niet zelf de bestandsextensie !!! Dit kan leiden tot de onmogelijkheid van hun decryptie.

Dit is wat u direct na het lezen moet doen:
1) Als u een gewone werknemer bent, stuur dan ons bericht naar de CEO van het bedrijf, evenals naar de IT-afdeling.
2) Als u een CEO bent, of een specialist op de IT-afdeling, of een andere persoon die een belangrijke rol speelt in het bedrijf, dient u binnen 24 uur per e-mail contact met ons op te nemen.

Als u het losgeld niet betaalt, zullen we uw bedrijf in de toekomst opnieuw aanvallen. Over een paar weken zullen we onze aanval gewoon herhalen en al uw gegevens van uw netwerken verwijderen, WAT ZAL LEIDEN TOT HUN ONBESCHIKBAARHEID!

Als garantie dat we de bestanden kunnen decoderen, raden we u aan meerdere bestanden gratis te laten decoderen.
E-mails om contact met ons op te nemen (schrijf de decoderings-ID in de titel van uw bericht):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'