Rorschach Ransomware

Oprogramowanie ransomware znane jako Rorschach lub BabLock jest przeznaczone do szyfrowania plików i atakowane jest przez małe i średnie firmy, a także organizacje przemysłowe. Kiedy Rorschach infekuje system, nie tylko szyfruje dane, ale także dodaje losowy ciąg znaków, po którym następuje dwucyfrowa liczba na końcu nazw plików. Celem tej modyfikacji jest utrudnienie ofiarom zauważenia, że ich dane zostały zablokowane.

Rorschach upuszcza również plik z żądaniem okupu o nazwie „_r_e_a_d_m_e.txt” i zmienia bieżące tło pulpitu, aby jeszcze bardziej zastraszyć ofiarę. Dołączony ciąg losowych znaków i dwucyfrowa liczba mogą się różnić w zależności od konkretnego wariantu ransomware.

Dane, na które miało wpływ oprogramowanie ransomware Rorschach, stają się bezużyteczne

Żądanie okupu pozostawione przez atakujących na zainfekowanym systemie służy jako powiadomienie, że ich system został naruszony, dane zostały zaszyfrowane, a ich kopie zapasowe usunięte. Notatka może również zawierać informację, że poufne informacje zostały wykradzione przez osoby atakujące.

Żądanie okupu zazwyczaj instruuje ofiary, aby nie kontaktowały się z policją, FBI ani innymi władzami, dopóki okup nie zostanie zapłacony. Może to również zniechęcać ofiary do kontaktowania się z firmami zajmującymi się odzyskiwaniem danych, twierdząc, że są one pośrednikami, które pobiorą duże pieniądze bez udzielenia jakiejkolwiek pomocy.

Żądanie okupu ostrzega również ofiary, aby nie próbowały samodzielnie odszyfrować plików ani modyfikować ich rozszerzeń, ponieważ może to uniemożliwić odzyskanie zaszyfrowanych danych. Atakujący udostępniają ofiarom dwa adresy e-mail, aby mogły się z nimi skontaktować i wysłać kilka plików do testowego odszyfrowania - „wvpater@onionmail.org” i „wvpater1@onionmail.org”.

Żądanie okupu zawiera groźbę, że jeśli okup nie zostanie zapłacony, osoby atakujące przeprowadzą kolejny atak na system ofiary i usuną wszystkie dane z jej sieci.

Rorschach Ransomware może infekować systemy Windows i Linux

Rorschach Ransomware to wyrafinowane zagrożenie, które zostało zaprojektowane do automatycznego rozprzestrzeniania się po uruchomieniu na kontrolerze domeny systemu Windows (DC). Po uruchomieniu oprogramowanie ransomware tworzy zasady grupy, które umożliwiają mu rozprzestrzenianie się na inne komputery w domenie. Ta funkcja była wcześniej powiązana z innym typem oprogramowania ransomware, znanym jako LockBit 2.0.

Rorschach Ransomware jest bardzo elastyczny i ma opcjonalne argumenty, które pozwalają mu dostosować się do potrzeb operatora. Posiada również unikalne funkcje, takie jak wykorzystanie bezpośrednich wywołań systemowych za pomocą instrukcji „syscall”. Te cechy bardzo utrudniają wykrycie i obronę przed nimi.

Ponadto ransomware ma kilka wbudowanych opcji, które są ukryte i zasłonięte, dzięki czemu są dostępne tylko poprzez inżynierię wsteczną złośliwego oprogramowania. Może to być przeznaczone dla wygody operatorów.

Rorschach Ransomware wykorzystuje hybrydowy proces kryptograficzny, który łączy algorytmy curve25519 i eSTREAM cipher hc-128 do szyfrowania plików ofiary. W przeciwieństwie do innych programów ransomware, szyfruje tylko pewną część oryginalnej zawartości pliku, a nie cały plik. Dzięki temu proces szyfrowania jest szybszy i bardziej wydajny.

Należy zauważyć, że Rorschach Ransomware atakuje zarówno systemy operacyjne Windows, jak i Linux. Linuksowe warianty Rorschacha mają podobieństwa do zagrożenia Babuk Ransomware.

Pełny tekst żądania okupu dostarczonego przez Rorschach Ransomware to:

„Identyfikator odszyfrowywania:

Cześć, skoro to czytasz, oznacza to, że zostałeś zhakowany.
Oprócz zaszyfrowania wszystkich Twoich systemów, usunięcia kopii zapasowych, pobraliśmy również Twoje poufne informacje.
Oto czego nie powinieneś robić:
1) Skontaktuj się z policją, fbi lub innymi organami przed zakończeniem naszej umowy.
2) Skontaktuj się z firmą windykacyjną, aby przeprowadziła z nami dialog. (Może to spowolnić odzyskiwanie i zniweczyć naszą komunikację). Nie idź do firm windykacyjnych, to w zasadzie tylko pośrednicy, którzy będą na tobie zarabiać i oszukiwać. Doskonale znamy przypadki, w których firmy windykacyjne mówią ci, że cena okupu wynosi 5 milionów dolarów, ale w rzeczywistości potajemnie negocjują z nas za 1 milion dolarów, więc zarabiają na tobie 4 miliony dolarów. Gdybyś skontaktował się z nami bezpośrednio, bez pośredników, zapłaciłbyś 5 razy mniej, czyli 1 milion dolarów.
3) Nie próbuj samodzielnie odszyfrowywać plików, a także nie zmieniaj samodzielnie rozszerzenia pliku !!! Może to prowadzić do niemożności ich odszyfrowania.

Oto, co powinieneś zrobić zaraz po przeczytaniu:
1) Jeśli jesteś zwykłym pracownikiem, wyślij naszą wiadomość do prezesa firmy, a także do działu IT.
2) Jeśli jesteś prezesem, specjalistą w dziale IT lub inną osobą mającą znaczenie w firmie, powinieneś skontaktować się z nami w ciągu 24 godzin drogą mailową.

Jeśli nie zapłacisz okupu, w przyszłości ponownie zaatakujemy Twoją firmę. Za kilka tygodni po prostu powtórzymy nasz atak i usuniemy wszystkie Twoje dane z Twoich sieci, CO DOPROWADZI DO ICH NIEDOSTĘPNOŚCI!

Jako gwarancję, że możemy odszyfrować pliki, sugerujemy przesłanie kilku plików do bezpłatnego odszyfrowania.
Maile, aby się z nami skontaktować (wpisz identyfikator odszyfrowywania w tytule wiadomości):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org”