Rorschach Ransomware

Rorschach, ਜਾਂ ਬੈਬਲੌਕ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਰੈਨਸਮਵੇਅਰ, ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਛੋਟੇ ਤੋਂ ਦਰਮਿਆਨੇ ਆਕਾਰ ਦੇ ਕਾਰੋਬਾਰਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਉਦਯੋਗਿਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਜਦੋਂ ਰੋਰਸਚ ਇੱਕ ਸਿਸਟਮ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਨਾ ਸਿਰਫ਼ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਬਲਕਿ ਫਾਈਲਾਂ ਦੇ ਅੰਤ ਵਿੱਚ ਦੋ-ਅੰਕੀ ਨੰਬਰ ਦੇ ਬਾਅਦ ਅੱਖਰਾਂ ਦੀ ਇੱਕ ਬੇਤਰਤੀਬ ਸਤਰ ਵੀ ਜੋੜਦਾ ਹੈ। ਇਸ ਸੋਧ ਦਾ ਉਦੇਸ਼ ਪੀੜਤਾਂ ਲਈ ਇਹ ਧਿਆਨ ਦੇਣਾ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਬਣਾਉਣਾ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਦਾ ਡੇਟਾ ਲਾਕ ਹੋ ਗਿਆ ਹੈ।

Rorschach '_r_e_a_d_m_e.txt' ਨਾਮਕ ਇੱਕ ਰਿਹਾਈ ਨੋਟ ਫਾਈਲ ਵੀ ਸੁੱਟਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਨੂੰ ਹੋਰ ਡਰਾਉਣ ਲਈ ਮੌਜੂਦਾ ਡੈਸਕਟਾਪ ਬੈਕਗ੍ਰਾਉਂਡ ਨੂੰ ਬਦਲਦਾ ਹੈ। ਰੈਨਸਮਵੇਅਰ ਦੇ ਖਾਸ ਰੂਪ ਦੇ ਆਧਾਰ 'ਤੇ ਬੇਤਰਤੀਬ ਅੱਖਰਾਂ ਦੀ ਜੋੜੀ ਗਈ ਸਤਰ ਅਤੇ ਦੋ-ਅੰਕੀ ਨੰਬਰ ਵੱਖ-ਵੱਖ ਹੋ ਸਕਦੇ ਹਨ।

Rorschach Ransomware ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਡੇਟਾ ਬੇਕਾਰ ਹੋ ਜਾਂਦਾ ਹੈ

ਸੰਕਰਮਿਤ ਸਿਸਟਮ 'ਤੇ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਛੱਡਿਆ ਗਿਆ ਰਿਹਾਈ ਦਾ ਨੋਟ ਇੱਕ ਨੋਟੀਫਿਕੇਸ਼ਨ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਕਿ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਉਹਨਾਂ ਦਾ ਡੇਟਾ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਦੇ ਬੈਕਅੱਪ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਨੋਟ ਵਿੱਚ ਇਹ ਵੀ ਦੱਸਿਆ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਗੁਪਤ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕੀਤੀ ਗਈ ਹੈ।

ਫਿਰੌਤੀ ਦਾ ਨੋਟ ਆਮ ਤੌਰ 'ਤੇ ਪੀੜਤਾਂ ਨੂੰ ਪੁਲਿਸ, FBI, ਜਾਂ ਹੋਰ ਅਧਿਕਾਰੀਆਂ ਨਾਲ ਸੰਪਰਕ ਨਾ ਕਰਨ ਦੀ ਹਿਦਾਇਤ ਦਿੰਦਾ ਹੈ ਜਦੋਂ ਤੱਕ ਰਿਹਾਈ ਦੀ ਅਦਾਇਗੀ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ। ਇਹ ਪੀੜਤਾਂ ਨੂੰ ਡਾਟਾ ਰਿਕਵਰੀ ਕੰਪਨੀਆਂ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਤੋਂ ਵੀ ਨਿਰਾਸ਼ ਕਰ ਸਕਦਾ ਹੈ, ਇਹ ਦਾਅਵਾ ਕਰਦੇ ਹੋਏ ਕਿ ਉਹ ਵਿਚੋਲੇ ਹਨ ਜੋ ਬਿਨਾਂ ਕੋਈ ਸਹਾਇਤਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਵੱਡੀ ਰਕਮ ਵਸੂਲ ਕਰਨਗੇ।

ਫਿਰੌਤੀ ਨੋਟ ਪੀੜਤਾਂ ਨੂੰ ਚੇਤਾਵਨੀ ਵੀ ਦਿੰਦਾ ਹੈ ਕਿ ਉਹ ਖੁਦ ਫਾਈਲਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਜਾਂ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਸੋਧਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਨਾ ਕਰਨ, ਕਿਉਂਕਿ ਇਸ ਨਾਲ ਐਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਸੰਭਵ ਹੋ ਸਕਦਾ ਹੈ। ਹਮਲਾਵਰ ਪੀੜਤਾਂ ਨੂੰ ਉਹਨਾਂ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਲਈ ਦੋ ਈਮੇਲ ਪਤੇ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ ਅਤੇ ਟੈਸਟ ਡੀਕ੍ਰਿਪਸ਼ਨ ਲਈ ਕੁਝ ਫਾਈਲਾਂ ਭੇਜਦੇ ਹਨ - 'wvpater@onionmail.org' ਅਤੇ 'wvpater1@onionmail.org।'

ਫਿਰੌਤੀ ਦੇ ਨੋਟ ਵਿੱਚ ਧਮਕੀ ਦਿੱਤੀ ਗਈ ਹੈ ਕਿ ਜੇਕਰ ਫਿਰੌਤੀ ਦਾ ਭੁਗਤਾਨ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਹਮਲਾਵਰ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਹੋਰ ਹਮਲਾ ਕਰਨਗੇ ਅਤੇ ਉਹਨਾਂ ਦੇ ਨੈਟਵਰਕ ਤੋਂ ਸਾਰਾ ਡਾਟਾ ਮਿਟਾ ਦੇਣਗੇ।

Rorschach Ransomware ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਸਿਸਟਮ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰ ਸਕਦਾ ਹੈ

Rorschach Ransomware ਇੱਕ ਵਧੀਆ ਖ਼ਤਰਾ ਹੈ ਜੋ ਵਿੰਡੋਜ਼ ਡੋਮੇਨ ਕੰਟਰੋਲਰ (DC) 'ਤੇ ਚੱਲਣ 'ਤੇ ਆਪਣੇ ਆਪ ਫੈਲਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇੱਕ ਵਾਰ ਚਲਾਏ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਰੈਨਸਮਵੇਅਰ ਇੱਕ ਸਮੂਹ ਨੀਤੀ ਬਣਾਉਂਦਾ ਹੈ, ਜੋ ਇਸਨੂੰ ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਹੋਰ ਮਸ਼ੀਨਾਂ ਵਿੱਚ ਫੈਲਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਪਹਿਲਾਂ ਲਾਕਬਿਟ 2.0 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਰੈਨਸਮਵੇਅਰ ਦੀ ਇੱਕ ਹੋਰ ਕਿਸਮ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ।

Rorschach Ransomware ਬਹੁਤ ਹੀ ਲਚਕਦਾਰ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਵਿਕਲਪਿਕ ਦਲੀਲਾਂ ਹਨ ਜੋ ਇਸਨੂੰ ਆਪਰੇਟਰ ਦੀਆਂ ਲੋੜਾਂ ਮੁਤਾਬਕ ਢਾਲਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀਆਂ ਹਨ। ਇਸ ਵਿੱਚ ਵਿਲੱਖਣ ਫੰਕਸ਼ਨ ਵੀ ਹਨ, ਜਿਵੇਂ ਕਿ "syscall" ਹਦਾਇਤ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਿੱਧੀ ਸਿਸਟਮ ਕਾਲਾਂ ਦੀ ਵਰਤੋਂ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਇਸਦਾ ਪਤਾ ਲਗਾਉਣਾ ਅਤੇ ਬਚਾਅ ਕਰਨਾ ਬਹੁਤ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਰੈਨਸਮਵੇਅਰ ਵਿੱਚ ਕਈ ਬਿਲਟ-ਇਨ ਵਿਕਲਪ ਹਨ ਜੋ ਲੁਕੇ ਹੋਏ ਅਤੇ ਅਸਪਸ਼ਟ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਨੂੰ ਰਿਵਰਸ-ਇੰਜੀਨੀਅਰਿੰਗ ਦੁਆਰਾ ਹੀ ਪਹੁੰਚਯੋਗ ਬਣਾਉਂਦੇ ਹਨ। ਇਹ ਓਪਰੇਟਰਾਂ ਦੀ ਸਹੂਲਤ ਲਈ ਤਿਆਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

Rorschach Ransomware ਇੱਕ ਹਾਈਬ੍ਰਿਡ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਪ੍ਰਕਿਰਿਆ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ ਪੀੜਤ ਦੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਕਰਵ25519 ਅਤੇ eSTREAM ਸਾਈਫਰ hc-128 ਐਲਗੋਰਿਦਮ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਦੂਜੇ ਰੈਨਸਮਵੇਅਰ ਦੇ ਉਲਟ, ਇਹ ਪੂਰੀ ਫਾਈਲ ਦੀ ਬਜਾਏ ਅਸਲ ਫਾਈਲ ਸਮੱਗਰੀ ਦੇ ਕੁਝ ਹਿੱਸੇ ਨੂੰ ਹੀ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। ਇਹ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਤੇਜ਼ ਅਤੇ ਵਧੇਰੇ ਕੁਸ਼ਲ ਬਣਾਉਂਦਾ ਹੈ।

ਇਹ ਨੋਟ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਰੋਰਸ਼ਚ ਰੈਨਸਮਵੇਅਰ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੋਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਰੋਰਸ਼ਚ ਦੇ ਲੀਨਕਸ ਰੂਪਾਂ ਵਿੱਚ ਬਾਬੂਕ ਰੈਨਸਮਵੇਅਰ ਖ਼ਤਰੇ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਹਨ।

Rorschach Ransomware ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਰਿਹਾਈ ਦੇ ਨੋਟ ਦਾ ਪੂਰਾ ਪਾਠ ਇਹ ਹੈ:

'ਡਿਕ੍ਰਿਪਸ਼ਨ ID:

ਹੈਲੋ, ਕਿਉਂਕਿ ਤੁਸੀਂ ਇਹ ਪੜ੍ਹ ਰਹੇ ਹੋ ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਤੁਹਾਨੂੰ ਹੈਕ ਕੀਤਾ ਗਿਆ ਹੈ।
ਤੁਹਾਡੇ ਸਾਰੇ ਸਿਸਟਮਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ, ਬੈਕਅੱਪਾਂ ਨੂੰ ਮਿਟਾਉਣ ਤੋਂ ਇਲਾਵਾ, ਅਸੀਂ ਤੁਹਾਡੀ ਗੁਪਤ ਜਾਣਕਾਰੀ ਨੂੰ ਵੀ ਡਾਊਨਲੋਡ ਕੀਤਾ ਹੈ।
ਇੱਥੇ ਉਹ ਹੈ ਜੋ ਤੁਹਾਨੂੰ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ:
1) ਸਾਡੇ ਸੌਦੇ ਦੀ ਸਮਾਪਤੀ ਤੋਂ ਪਹਿਲਾਂ ਪੁਲਿਸ, ਐਫਬੀਆਈ ਜਾਂ ਹੋਰ ਅਧਿਕਾਰੀਆਂ ਨਾਲ ਸੰਪਰਕ ਕਰੋ।
2) ਰਿਕਵਰੀ ਕੰਪਨੀ ਨਾਲ ਸੰਪਰਕ ਕਰੋ ਤਾਂ ਜੋ ਉਹ ਸਾਡੇ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ। (ਇਹ ਰਿਕਵਰੀ ਨੂੰ ਹੌਲੀ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਸਾਡੇ ਸੰਚਾਰ ਨੂੰ ਵਿਅਰਥ ਬਣਾ ਸਕਦਾ ਹੈ)। ਰਿਕਵਰੀ ਕੰਪਨੀਆਂ ਵਿੱਚ ਨਾ ਜਾਓ, ਉਹ ਅਸਲ ਵਿੱਚ ਸਿਰਫ ਵਿਚੋਲੇ ਹਨ ਜੋ ਤੁਹਾਡੇ ਤੋਂ ਪੈਸੇ ਕਮਾਉਣਗੇ ਅਤੇ ਤੁਹਾਨੂੰ ਧੋਖਾ ਦੇਣਗੇ। ਅਸੀਂ ਉਨ੍ਹਾਂ ਮਾਮਲਿਆਂ ਤੋਂ ਚੰਗੀ ਤਰ੍ਹਾਂ ਜਾਣੂ ਹਾਂ ਜਿੱਥੇ ਰਿਕਵਰੀ ਕੰਪਨੀਆਂ ਤੁਹਾਨੂੰ ਦੱਸਦੀਆਂ ਹਨ ਕਿ ਫਿਰੌਤੀ ਦੀ ਕੀਮਤ 5 ਮਿਲੀਅਨ ਡਾਲਰ ਹੈ, ਪਰ ਅਸਲ ਵਿੱਚ ਉਹ ਗੁਪਤ ਤੌਰ 'ਤੇ ਗੱਲਬਾਤ ਕਰਦੇ ਹਨ। ਸਾਨੂੰ 1 ਮਿਲੀਅਨ ਡਾਲਰ ਲਈ, ਇਸ ਲਈ ਉਹ ਤੁਹਾਡੇ ਤੋਂ 4 ਮਿਲੀਅਨ ਡਾਲਰ ਕਮਾਉਂਦੇ ਹਨ। ਜੇਕਰ ਤੁਸੀਂ ਵਿਚੋਲੇ ਤੋਂ ਬਿਨਾਂ ਸਾਡੇ ਨਾਲ ਸਿੱਧੇ ਸੰਪਰਕ ਕਰਦੇ ਹੋ ਤਾਂ ਤੁਸੀਂ 5 ਗੁਣਾ ਘੱਟ ਭੁਗਤਾਨ ਕਰੋਗੇ, ਯਾਨੀ 1 ਮਿਲੀਅਨ ਡਾਲਰ।
3) ਫਾਈਲਾਂ ਨੂੰ ਖੁਦ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਨਾ ਕਰੋ, ਨਾਲ ਹੀ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਖੁਦ ਨਾ ਬਦਲੋ !!! ਇਸ ਨਾਲ ਉਹਨਾਂ ਦੇ ਡੀਕ੍ਰਿਪਸ਼ਨ ਦੀ ਅਸੰਭਵਤਾ ਹੋ ਸਕਦੀ ਹੈ।

ਇਸ ਨੂੰ ਪੜ੍ਹਨ ਤੋਂ ਬਾਅਦ ਤੁਹਾਨੂੰ ਕੀ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ:
1) ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ਆਮ ਕਰਮਚਾਰੀ ਹੋ, ਤਾਂ ਸਾਡਾ ਸੁਨੇਹਾ ਕੰਪਨੀ ਦੇ CEO ਅਤੇ ਨਾਲ ਹੀ IT ਵਿਭਾਗ ਨੂੰ ਭੇਜੋ।
2) ਜੇ ਤੁਸੀਂ ਇੱਕ ਸੀਈਓ ਹੋ, ਜਾਂ ਆਈਟੀ ਵਿਭਾਗ ਵਿੱਚ ਇੱਕ ਮਾਹਰ, ਜਾਂ ਕੋਈ ਹੋਰ ਵਿਅਕਤੀ ਜਿਸਦਾ ਕੰਪਨੀ ਵਿੱਚ ਭਾਰ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ ਈਮੇਲ ਦੁਆਰਾ 24 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਸਾਡੇ ਨਾਲ ਸੰਪਰਕ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਜੇਕਰ ਤੁਸੀਂ ਫਿਰੌਤੀ ਦਾ ਭੁਗਤਾਨ ਨਹੀਂ ਕਰਦੇ, ਤਾਂ ਅਸੀਂ ਭਵਿੱਖ ਵਿੱਚ ਤੁਹਾਡੀ ਕੰਪਨੀ 'ਤੇ ਦੁਬਾਰਾ ਹਮਲਾ ਕਰਾਂਗੇ। ਕੁਝ ਹਫ਼ਤਿਆਂ ਵਿੱਚ, ਅਸੀਂ ਸਿਰਫ਼ ਆਪਣੇ ਹਮਲੇ ਨੂੰ ਦੁਹਰਾਵਾਂਗੇ ਅਤੇ ਤੁਹਾਡੇ ਨੈੱਟਵਰਕਾਂ ਤੋਂ ਤੁਹਾਡਾ ਸਾਰਾ ਡਾਟਾ ਮਿਟਾ ਦੇਵਾਂਗੇ, ਜੋ ਉਹਨਾਂ ਦੀ ਅਣਉਪਲਬਧਤਾ ਵੱਲ ਲੈ ਜਾਵੇਗਾ!

ਇੱਕ ਗਾਰੰਟੀ ਦੇ ਤੌਰ ਤੇ ਕਿ ਅਸੀਂ ਫਾਈਲਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰ ਸਕਦੇ ਹਾਂ, ਅਸੀਂ ਸੁਝਾਅ ਦਿੰਦੇ ਹਾਂ ਕਿ ਤੁਸੀਂ ਮੁਫਤ ਡੀਕ੍ਰਿਪਸ਼ਨ ਲਈ ਕਈ ਫਾਈਲਾਂ ਭੇਜੋ।
ਸਾਡੇ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਲਈ ਮੇਲ (ਆਪਣੇ ਸੁਨੇਹੇ ਦੇ ਸਿਰਲੇਖ ਵਿੱਚ ਡੀਕ੍ਰਿਪਸ਼ਨ ID ਲਿਖੋ):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'