Rorschach Ransomware

Программа-вымогатель, известная как Rorschach или BabLock, предназначена для шифрования файлов и нацелена на малый и средний бизнес, а также на промышленные организации. Когда Роршах заражает систему, он не только шифрует данные, но и добавляет случайную строку символов, за которой следует двузначное число в конце имен файлов. Цель этой модификации — сделать так, чтобы жертвам было сложнее заметить, что их данные заблокированы.

Роршах также удаляет файл с запиской о выкупе под названием «_r_e_a_d_m_e.txt» и меняет текущий фон рабочего стола, чтобы еще больше запугать жертву. Добавляемая строка случайных символов и двузначное число могут различаться в зависимости от конкретного варианта программы-вымогателя.

Данные, затронутые программой-вымогателем Роршаха, становятся непригодными для использования

Записка с требованием выкупа, оставленная злоумышленниками в зараженной системе, служит уведомлением о том, что их система была скомпрометирована, их данные зашифрованы, а их резервные копии удалены. В примечании также может упоминаться, что конфиденциальная информация была похищена злоумышленниками.

В записке о выкупе обычно содержится указание жертвам не обращаться в полицию, ФБР или другие органы власти до тех пор, пока не будет произведена выплата выкупа. Это также может отбить охоту у жертв обращаться к компаниям по восстановлению данных, утверждая, что они являются посредниками, которые взимают большую сумму денег, не оказывая никакой помощи.

В примечании о выкупе также содержится предупреждение жертвам не пытаться самостоятельно расшифровывать файлы или изменять расширения файлов, поскольку это может сделать невозможным восстановление зашифрованных данных. Злоумышленники предоставляют жертвам два адреса электронной почты для связи с ними и отправки нескольких файлов для тестовой расшифровки — «wvpater@onionmail.org» и «wvpater1@onionmail.org».

В записке о выкупе содержится угроза, что, если выкуп не будет произведен, злоумышленники предпримут еще одну атаку на систему жертвы и удалят все данные из своих сетей.

Программа-вымогатель Rorschach может заражать системы Windows и Linux

Rorschach Ransomware — это сложная угроза, предназначенная для автоматического распространения при выполнении на контроллере домена Windows (DC). После запуска программа-вымогатель создает групповую политику, которая позволяет ей распространяться на другие машины в домене. Эта функция ранее была связана с другим типом программ-вымогателей, известных как LockBit 2.0.

Программа-вымогатель Роршаха очень гибкая и имеет дополнительные аргументы, которые позволяют ему адаптироваться к потребностям оператора. Он также имеет уникальные функции, такие как использование прямых системных вызовов с помощью инструкции «syscall». Эти особенности делают его очень трудным для обнаружения и защиты от него.

Кроме того, у программы-вымогателя есть несколько встроенных опций, которые скрыты и скрыты, что делает их доступными только при обратном проектировании вредоносного ПО. Это может быть сделано для удобства операторов.

Rorschach Ransomware использует гибридный процесс шифрования, который сочетает в себе алгоритмы шифра curve25519 и eSTREAM hc-128 для шифрования файлов жертвы. В отличие от других программ-вымогателей, он шифрует только определенную часть исходного содержимого файла, а не весь файл. Это делает процесс шифрования более быстрым и эффективным.

Важно отметить, что Rorschach Ransomware нацелен как на операционные системы Windows, так и на Linux. Варианты Rorschach для Linux имеют сходство с угрозой Babuk Ransomware.

Полный текст записки о выкупе, доставленной Rorschach Ransomware:

'Идентификатор расшифровки:

Привет, раз ты это читаешь, значит тебя взломали.
Помимо шифрования всех ваших систем, удаления резервных копий, мы также скачивали вашу конфиденциальную информацию.
Вот чего не следует делать:
1) Свяжитесь с полицией, ФБР или другими органами до окончания нашей сделки.
2) Связаться с рекуперационной компанией, что бы они вели с нами диалоги. (Это может замедлить восстановление, и свести наше общение на нет). Не обращайтесь в компании по взысканию, они по сути просто посредники, которые заработают на вас деньги и обманут вас. Нам хорошо известны случаи, когда компании по взысканию сообщают вам, что цена выкупа составляет 5 миллионов долларов, но на самом деле они тайно договариваются с нам за 1 миллион долларов, поэтому они зарабатывают на вас 4 миллиона долларов. Если бы вы обратились к нам напрямую без посредников, то заплатили бы в 5 раз меньше, то есть 1 миллион долларов.
3) Не пытайтесь самостоятельно расшифровывать файлы, а так же не меняйте самостоятельно расширение файла!!! Это может привести к невозможности их расшифровки.

Вот что вы должны сделать сразу после прочтения:
1) Если вы рядовой сотрудник, отправьте наше сообщение генеральному директору компании, а также в ИТ-отдел.
2) Если вы генеральный директор, или специалист ИТ-отдела, или другое лицо, имеющее вес в компании, вам следует связаться с нами в течение 24 часов по электронной почте.

Если вы не заплатите выкуп, мы снова атакуем вашу компанию в будущем. Через несколько недель мы просто повторим нашу атаку и удалим все ваши данные из ваших сетей, ЧТО ПРИВЕДЕТ К ИХ НЕДОСТУПНОСТИ!

В качестве гарантии того, что мы сможем расшифровать файлы, мы предлагаем вам отправить несколько файлов для бесплатной расшифровки.
Письма, чтобы связаться с нами (напишите идентификатор расшифровки в заголовке вашего сообщения):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'