Descontos para múltiplas licenças
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

Por Mezo em Ransomware
Traduzir Para:
Português

O ransomware conhecido como Rorschach, ou BabLock, foi projetado para criptografar arquivos e atingir pequenas e médias empresas, bem como organizações industriais. Quando o Rorschach infecta um sistema, ele não apenas criptografa os dados, mas também adiciona uma sequência aleatória de caracteres seguidos por um número de dois dígitos no final dos nomes dos arquivos. O objetivo dessa modificação é tornar mais difícil para as vítimas perceberem que seus dados foram bloqueados.

Rorschach também lança um arquivo de nota de resgate chamado '_r_e_a_d_m_e.txt' e altera o plano de fundo da área de trabalho atual para intimidar ainda mais a vítima. A sequência anexa de caracteres aleatórios e o número de dois dígitos podem variar dependendo da variante específica do ransomware.

Os Dados Afetados pelo Rorschach Ransomware se Tornam Inutilizáveis

A nota de resgate deixada pelos invasores no sistema infectado serve como uma notificação de que seu sistema foi comprometido, seus dados foram criptografados e seus backups foram excluídos. A nota também pode mencionar que informações confidenciais foram roubadas pelos invasores.

A nota de resgate normalmente instrui as vítimas a não contatar a polícia, o FBI ou outras autoridades até que o pagamento do resgate seja feito. Também pode desencorajar as vítimas de entrar em contato com empresas de recuperação de dados, alegando que são intermediários que cobrarão uma grande quantia de dinheiro sem prestar qualquer assistência.

A nota de resgate também avisa as vítimas para não tentarem descriptografar os arquivos ou modificar as extensões dos arquivos, pois isso pode impossibilitar a recuperação dos dados criptografados. Os invasores fornecem dois endereços de e-mail para as vítimas contatá-los e enviar alguns arquivos para teste de descriptografia - 'wvpater@onionmail.org' e 'wvpater1@onionmail.org'.

A nota de resgate contém uma ameaça de que, se o pagamento do resgate não for feito, os invasores lançarão outro ataque contra o sistema da vítima e excluirão todos os dados de suas redes.

O Rorschach Ransomware pode Infectar os Sistemas Windows e Linux

O Rorschach Ransomware é uma ameaça sofisticada projetada para se espalhar automaticamente quando executada em um Windows Domain Controller (DC). Uma vez executado, o ransomware cria uma Política de Grupo, que permite que ele se espalhe para outras máquinas dentro do domínio. Esse recurso já foi associado a outro tipo de ransomware conhecido como LockBit 2.0.

O Rorschach Ransomware é altamente flexível e possui argumentos opcionais que permitem sua adaptação às necessidades do operador. Ele também possui funções exclusivas, como o uso de chamadas diretas ao sistema usando a instrução "syscall". Esses recursos tornam muito difícil detectar e se defender.

Além disso, o ransomware tem várias opções integradas que são ocultas e obscurecidas, tornando-as acessíveis apenas por meio da engenharia reversa do malware. Isso pode ser planejado para a conveniência dos operadores.

O Rorschach Ransomware usa um processo de criptografia híbrida que combina os algoritmos curve25519 e eSTREAM cipher hc-128 para criptografar os arquivos da vítima. Ao contrário de outros ransomware, ele criptografa apenas uma determinada parte do conteúdo do arquivo original, em vez do arquivo inteiro. Isso torna o processo de criptografia mais rápido e eficiente.

É importante observar que o Rorschach Ransomware tem como alvo os sistemas operacionais Windows e Linux. As variantes Linux do Rorschach têm semelhanças com a ameaça Babuk Ransomware.

O texto completo da nota de resgate entregue pelo Rorschach Ransomware é:

'ID de descriptografia:

Olá, já que você está lendo isso, significa que você foi hackeado.
Além de criptografar todos os seus sistemas, excluindo backups, também baixamos suas informações confidenciais.
Aqui está o que você não deve fazer:
1) Entre em contato com a polícia, fbi ou outras autoridades antes do final do nosso negócio.
2) Entre em contato com a empresa de recuperação para que eles possam dialogar conosco. (Isso pode retardar a recuperação e prejudicar nossa comunicação). Não vá para empresas de recuperação, elas são essencialmente apenas intermediários que vão ganhar dinheiro com você e enganá-lo. Estamos bem cientes dos casos em que as empresas de recuperação dizem que o preço do resgate é de 5 milhões de dólares, mas na verdade eles negociam secretamente com nós por 1 milhão de dólares, então eles ganham 4 milhões de dólares de você. Se você nos abordasse diretamente, sem intermediários, pagaria 5 vezes menos, ou seja, 1 milhão de dólares.
3) Não tente descriptografar os arquivos sozinho, nem altere a extensão do arquivo sozinho !!! Isso pode levar à impossibilidade de sua descriptografia.

Aqui está o que você deve fazer logo após a leitura:
1) Se você é um funcionário comum, envie nossa mensagem ao CEO da empresa, bem como ao departamento de TI.
2) Se você é um CEO, ou um especialista do departamento de TI, ou outra pessoa que tenha peso na empresa, entre em contato conosco em até 24 horas por e-mail.

Se você não pagar o resgate, atacaremos sua empresa novamente no futuro. Em algumas semanas, simplesmente repetiremos nosso ataque e excluiremos todos os seus dados de suas redes, O QUE LEVARÁ À SUA INDISPONIBILIDADE!

Como garantia de que podemos descriptografar os arquivos, sugerimos que você envie vários arquivos para descriptografia gratuita.
E-mails para entrar em contato conosco (Escreva o ID de descriptografia no título da sua mensagem):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'

Tendendo

Mais visto

Carregando...