Rorschach Ransomware

Ransomvér známy ako Rorschach alebo BabLock je určený na šifrovanie súborov a zameriava sa na malé a stredné podniky, ako aj priemyselné organizácie. Keď Rorschach infikuje systém, nielen zašifruje údaje, ale pridá aj náhodný reťazec znakov, za ktorým nasleduje dvojciferné číslo na konci názvov súborov. Účelom tejto úpravy je sťažiť obetiam, aby si všimli, že ich údaje boli uzamknuté.

Rorschach tiež odstráni súbor s poznámkou o výkupnom s názvom „_r_e_a_d_m_e.txt“ a zmení aktuálne pozadie pracovnej plochy, aby obeť ešte viac zastrašil. Pridaný reťazec náhodných znakov a dvojciferné číslo sa môžu líšiť v závislosti od konkrétneho variantu ransomvéru.

Údaje ovplyvnené Rorschachovým ransomvérom sa stávajú nepoužiteľnými

Výkupné, ktoré útočníci zanechali na infikovanom systéme, slúži ako upozornenie, že ich systém bol napadnutý, ich údaje boli zašifrované a ich zálohy boli vymazané. Poznámka môže tiež uvádzať, že útočníci ukradli dôverné informácie.

Výkupné zvyčajne inštruuje obete, aby nekontaktovali políciu, FBI alebo iné úrady, kým nebude zaplatená výkupná. Môže to tiež odradiť obete od toho, aby kontaktovali spoločnosti na obnovu údajov s tvrdením, že sú sprostredkovateľmi, ktorí si budú účtovať veľké množstvo peňazí bez poskytnutia akejkoľvek pomoci.

Poznámka o výkupnom tiež varuje obete, aby sa nepokúšali dešifrovať samotné súbory alebo upravovať prípony súborov, pretože to môže znemožniť obnovenie zašifrovaných údajov. Útočníci poskytli obetiam dve e-mailové adresy, aby ich mohli kontaktovať a poslať im niekoľko súborov na testovacie dešifrovanie – „wvpater@onionmail.org“ a „wvpater1@onionmail.org“.

Výkupné obsahuje hrozbu, že ak nebude zaplatené výkupné, útočníci spustia ďalší útok proti systému obete a vymažú všetky údaje zo svojich sietí.

Rorschach Ransomware môže infikovať systémy Windows a Linux

Rorschach Ransomware je sofistikovaná hrozba, ktorá je navrhnutá tak, aby sa automaticky šírila pri spustení na Windows Domain Controller (DC). Po spustení ransomvér vytvorí skupinovú politiku, ktorá mu umožní rozšíriť ho na ďalšie počítače v rámci domény. Táto funkcia bola predtým spojená s iným typom ransomvéru známeho ako LockBit 2.0.

Rorschach Ransomware je vysoko flexibilný a má voliteľné argumenty, ktoré mu umožňujú prispôsobiť sa potrebám operátora. Má tiež jedinečné funkcie, ako napríklad použitie priamych systémových volaní pomocou inštrukcie „syscall“. Tieto vlastnosti veľmi sťažujú odhalenie a obranu proti nim.

Okrem toho má ransomvér niekoľko vstavaných možností, ktoré sú skryté a zakryté, vďaka čomu sú dostupné iba prostredníctvom spätného inžinierstva škodlivého softvéru. Toto môže byť určené pre pohodlie operátorov.

Rorschach Ransomware používa hybridný kryptografický proces, ktorý kombinuje algoritmy curve25519 a eSTREAM šifru hc-128 na šifrovanie súborov obete. Na rozdiel od iného ransomvéru šifruje iba určitú časť pôvodného obsahu súboru, nie celý súbor. Vďaka tomu je proces šifrovania rýchlejší a efektívnejší.

Je dôležité poznamenať, že Rorschach Ransomware sa zameriava na operačné systémy Windows aj Linux. Linuxové varianty Rorschacha majú podobnosti s hrozbou Babuk Ransomware.

Úplný text výkupného doručeného Rorschach Ransomware je:

„ID dešifrovania:

Ahoj, keďže toto čítaš, znamená to, že si bol hacknutý.
Okrem šifrovania všetkých vašich systémov, odstraňovania záloh, sme stiahli aj vaše dôverné informácie.
Tu je to, čo by ste nemali robiť:
1) Pred ukončením nášho obchodu kontaktujte políciu, fbi alebo iné orgány.
2) Kontaktujte vymáhaciu spoločnosť, aby s nami viedla dialóg. (To môže spomaliť zotavenie a zničiť našu komunikáciu). Nechoďte za vymáhacími spoločnosťami, sú to v podstate len sprostredkovatelia, ktorí na vás zarobia peniaze a podvedú vás. Dobre vieme o prípadoch, keď vám vymáhacie spoločnosti povedia, že výkupná cena je 5 miliónov dolárov, ale v skutočnosti tajne vyjednávajú s nás za 1 milión dolárov, takže od vás zarobia 4 milióny dolárov. Ak by ste nás oslovili priamo bez sprostredkovateľov, zaplatili by ste 5-krát menej, teda 1 milión dolárov.
3) Nepokúšajte sa dešifrovať súbory sami, rovnako ako sami nemeňte príponu súboru !!! To môže viesť k nemožnosti ich dešifrovania.

Tu je to, čo by ste mali urobiť hneď po prečítaní:
1) Ak ste radový zamestnanec, pošlite našu správu generálnemu riaditeľovi spoločnosti, ako aj oddeleniu IT.
2) Ak ste CEO, alebo špecialista v IT oddelení, alebo iná osoba, ktorá má v spoločnosti váhu, mali by ste nás kontaktovať do 24 hodín emailom.

Ak nezaplatíte výkupné, v budúcnosti opäť zaútočíme na vašu spoločnosť. O niekoľko týždňov jednoducho útok zopakujeme a vymažeme všetky vaše údaje z vašich sietí, ČO POVEDE K ICH NEDOSTUPNOSTI!

Ako záruku, že dokážeme dešifrovať súbory, odporúčame vám poslať niekoľko súborov na bezplatné dešifrovanie.
E-maily, aby ste nás kontaktovali (do názvu správy napíšte dešifrovacie ID):
1) wvpater@onionmail.org
2)wvpater1@onionmail.org'