Reduceri pentru mai multe licențe
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

Până în Mezo în Ransomware
Tradu in:
Română

Ransomware-ul cunoscut sub numele de Rorschach sau BabLock este conceput pentru a cripta fișierele și a viza întreprinderile mici și mijlocii, precum și organizațiile industriale. Când Rorschach infectează un sistem, nu numai că criptează datele, ci și adaugă un șir aleatoriu de caractere urmat de un număr din două cifre la sfârșitul numelor fișierelor. Scopul acestei modificări este de a face mai dificil pentru victime să observe că datele lor au fost blocate.

Rorschach elimină, de asemenea, un fișier cu notă de răscumpărare numit „_r_e_a_d_m_e.txt” și schimbă fundalul curent al desktopului pentru a intimida și mai mult victima. Șirul de caractere aleatoriu atașat și numărul din două cifre pot varia în funcție de varianta particulară a ransomware-ului.

Datele afectate de ransomware-ul Rorschach devin inutilizabile

Nota de răscumpărare lăsată de atacatori pe sistemul infectat servește ca o notificare că sistemul lor a fost compromis, datele lor au fost criptate și copiile de rezervă au fost șterse. Nota poate menționa, de asemenea, că informații confidențiale au fost furate de atacatori.

Nota de răscumpărare instruiește de obicei victimele să nu contacteze poliția, FBI sau alte autorități până când plata răscumpărării nu a fost efectuată. De asemenea, poate descuraja victimele să contacteze companii de recuperare de date, susținând că sunt intermediari care vor percepe o sumă mare de bani fără a oferi niciun fel de asistență.

Nota de răscumpărare avertizează, de asemenea, victimele să nu încerce să decripteze fișierele în sine sau să modifice extensiile fișierelor, deoarece acest lucru poate face imposibilă recuperarea datelor criptate. Atacatorii furnizează două adrese de e-mail pentru ca victimele să le contacteze și să trimită câteva fișiere pentru testarea decriptării - „wvpater@onionmail.org” și „wvpater1@onionmail.org”.

Nota de răscumpărare conține amenințarea că, dacă plata răscumpărării nu este efectuată, atacatorii vor lansa un alt atac împotriva sistemului victimei și vor șterge toate datele din rețelele lor.

Ransomware-ul Rorschach poate infecta sistemele Windows și Linux

Rorschach Ransomware este o amenințare sofisticată care este proiectată să se răspândească automat atunci când este executată pe un controler de domeniu Windows (DC). Odată executat, ransomware-ul creează o politică de grup, care îi permite să se răspândească la alte mașini din domeniu. Această caracteristică a fost asociată anterior cu un alt tip de ransomware cunoscut sub numele de LockBit 2.0.

Rorschach Ransomware este foarte flexibil și are argumente opționale care îi permit să se adapteze nevoilor operatorului. De asemenea, are funcții unice, cum ar fi utilizarea apelurilor directe de sistem folosind instrucțiunea „syscall”. Aceste caracteristici fac foarte dificil de detectat și de apărare.

În plus, ransomware-ul are mai multe opțiuni încorporate care sunt ascunse și ascunse, făcându-le accesibile numai prin inginerie inversă a malware-ului. Acest lucru poate fi destinat pentru confortul operatorilor.

Rorschach Ransomware folosește un proces de criptare hibridă care combină algoritmii curve25519 și eSTREAM cipher hc-128 pentru a cripta fișierele victimei. Spre deosebire de alte ransomware, acesta criptează doar o anumită parte a conținutului fișierului original, mai degrabă decât întregul fișier. Acest lucru face ca procesul de criptare să fie mai rapid și mai eficient.

Este important de reținut că Rorschach Ransomware vizează atât sistemele de operare Windows, cât și Linux. Variantele Linux de Rorschach au asemănări cu amenințarea Babuk Ransomware.

Textul integral al notei de răscumpărare furnizată de Rorschach Ransomware este:

„ID de decriptare:

Salut, din moment ce citești asta înseamnă că ai fost piratat.
Pe lângă criptarea tuturor sistemelor dvs., ștergerea copiilor de rezervă, am descărcat și informațiile dvs. confidențiale.
Iată ce nu ar trebui să faci:
1) Contactați poliția, FBI sau alte autorități înainte de încheierea tranzacției noastre.
2) Contactați compania de recuperare pentru ca aceasta să poarte dialoguri cu noi. (Acest lucru poate încetini recuperarea și poate duce la nimic comunicarea noastră). Nu mergeți la companii de recuperare, ei sunt în esență doar intermediari care vă vor face bani și vă vor înșela. Suntem foarte conștienți de cazuri în care companiile de recuperare vă spun că prețul răscumpărării este de 5 milioane de dolari, dar de fapt negociază în secret cu noi pentru 1 milion de dolari, așa că ei câștigă 4 milioane de dolari de la tine. Daca ne-ai aborda direct fara intermediari ai plati de 5 ori mai putin, adica 1 milion de dolari.
3) Nu încercați să decriptați fișierele singur, precum și nu modificați singur extensia fișierului !!! Acest lucru poate duce la imposibilitatea decriptării lor.

Iată ce ar trebui să faci imediat după ce ai citit-o:
1) Dacă sunteți un angajat obișnuit, trimiteți mesajul nostru directorului general al companiei, precum și departamentului IT.
2) Dacă sunteți CEO, sau specialist în departamentul IT, sau altă persoană care are greutate în companie, ar trebui să ne contactați în 24 de ore prin e-mail.

Dacă nu plătiți răscumpărarea, vă vom ataca din nou compania în viitor. În câteva săptămâni, pur și simplu vom repeta atacul nostru și vă vom șterge toate datele din rețelele dvs., ceea ce VA CONDUCE LA INDISPONIBILITATEA LOR!

Ca garanție că putem decripta fișierele, vă sugerăm să trimiteți mai multe fișiere pentru decriptare gratuită.
E-mailuri pentru a ne contacta (Scrieți ID-ul de decriptare în titlul mesajului dvs.):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org”

Trending

Cele mai văzute

Se încarcă...