Rorschach Ransomware

Izsiljevalska programska oprema, znana kot Rorschach ali BabLock, je zasnovana za šifriranje datotek in cilja na mala in srednje velika podjetja ter industrijske organizacije. Ko Rorschach okuži sistem, ne le šifrira podatke, temveč tudi doda naključni niz znakov, ki mu sledi dvomestna številka na koncu imen datotek. Namen te spremembe je, da žrtve težje opazijo, da so njihovi podatki zaklenjeni.

Rorschach prav tako spusti datoteko z obvestilom o odkupnini, imenovano '_r_e_a_d_m_e.txt', in spremeni trenutno ozadje namizja, da dodatno ustrahuje žrtev. Dodani niz naključnih znakov in dvomestno število se lahko razlikujejo glede na posamezno različico izsiljevalske programske opreme.

Podatki, na katere vpliva izsiljevalska programska oprema Rorschach, postanejo neuporabni

Poročilo o odkupnini, ki ga napadalci pustijo v okuženem sistemu, služi kot obvestilo, da je bil njihov sistem ogrožen, da so bili njihovi podatki šifrirani in da so bile njihove varnostne kopije izbrisane. Opomba lahko tudi omenja, da so napadalci ukradli zaupne podatke.

Obvestilo o odkupnini običajno naroča žrtvam, naj se ne obrnejo na policijo, FBI ali druge organe, dokler odkupnina ni plačana. Prav tako lahko žrtve odvrne od stika s podjetji za obnovitev podatkov, češ da so posredniki, ki bodo zaračunali veliko denarja, ne da bi zagotovili kakršno koli pomoč.

Obvestilo o odkupnini tudi opozarja žrtve, naj ne poskušajo same dešifrirati datotek ali spremeniti datotečnih končnic, saj lahko to onemogoči obnovitev šifriranih podatkov. Napadalci posredujejo dva e-poštna naslova žrtvam, da jih lahko kontaktirajo in pošljejo nekaj datotek za testno dešifriranje - 'wvpater@onionmail.org' in 'wvpater1@onionmail.org.'

Obvestilo o odkupnini vsebuje grožnjo, da če odkupnina ne bo plačana, bodo napadalci izvedli nov napad na sistem žrtve in izbrisali vse podatke iz njihovih omrežij.

Izsiljevalska programska oprema Rorschach lahko okuži sisteme Windows in Linux

Izsiljevalska programska oprema Rorschach je prefinjena grožnja, ki je zasnovana tako, da se samodejno širi, ko se izvaja na krmilniku domene Windows (DC). Ko se izsiljevalska programska oprema enkrat zažene, ustvari pravilnik skupine, ki ji omogoča širjenje na druge stroje v domeni. Ta funkcija je bila prej povezana z drugo vrsto izsiljevalske programske opreme, znano kot LockBit 2.0.

Izsiljevalska programska oprema Rorschach je zelo prilagodljiva in ima neobvezne argumente, ki ji omogočajo prilagajanje potrebam operaterja. Ima tudi edinstvene funkcije, kot je uporaba neposrednih sistemskih klicev z uporabo ukaza "syscall". Te lastnosti otežujejo odkrivanje in obrambo pred njimi.

Poleg tega ima izsiljevalska programska oprema več vgrajenih možnosti, ki so prikrite in zakrite, zaradi česar so dostopne samo z obratnim inženiringom zlonamerne programske opreme. To je morda namenjeno udobju operaterjev.

Izsiljevalska programska oprema Rorschach uporablja hibridni kriptografski postopek, ki združuje algoritma šifre curve25519 in eSTREAM hc-128 za šifriranje datotek žrtve. Za razliko od druge izsiljevalske programske opreme šifrira samo določen del izvirne vsebine datoteke in ne celotne datoteke. Zaradi tega je postopek šifriranja hitrejši in učinkovitejši.

Pomembno je omeniti, da izsiljevalska programska oprema Rorschach cilja na operacijska sistema Windows in Linux. Različice Rorschacha za Linux so podobne grožnji Babuk Ransomware.

Celotno besedilo obvestila o odkupnini, ki ga je posredovala Rorschach Ransomware, je:

'ID dešifriranja:

Živijo, ker to bereš, pomeni, da so te vdrli.
Poleg šifriranja vseh vaših sistemov, brisanja varnostnih kopij smo prenesli tudi vaše zaupne podatke.
Česa ne smete storiti:
1) Obrnite se na policijo, FBI ali druge organe pred koncem našega posla.
2) Obrnite se na podjetje za predelavo, da bo z nami vodilo dialog. (To lahko upočasni okrevanje in izniči našo komunikacijo). Ne hodite k podjetjem za izterjavo, to so v bistvu le posredniki, ki bodo z vami zaslužili in vas ogoljufali. Dobro poznamo primere, ko vam podjetja za izterjavo povedo, da je cena odkupnine 5 milijonov dolarjev, v resnici pa se skrivaj pogajajo z nas za 1 milijon dolarjev, torej od vas zaslužijo 4 milijone dolarjev. Če bi se obrnili na nas neposredno brez posrednikov, bi plačali 5-krat manj, to je 1 milijon dolarjev.
3) Ne poskušajte sami dešifrirati datotek, prav tako ne spreminjajte končnice datoteke sami !!! To lahko privede do nezmožnosti njihovega dešifriranja.

Takoj po branju morate storiti naslednje:
1) Če ste običajen zaposleni, pošljite naše sporočilo generalnemu direktorju podjetja in IT oddelku.
2) Če ste generalni direktor ali specialist v IT oddelku ali druga oseba, ki ima pomen v podjetju, nas kontaktirajte v 24 urah po e-pošti.

Če ne boste plačali odkupnine, bomo v prihodnosti ponovno napadli vaše podjetje. Čez nekaj tednov bomo preprosto ponovili naš napad in izbrisali vse vaše podatke iz vaših omrežij, KAR BO POVEZALO V NJIHOVO NEDOSTOPNOST!

Kot zagotovilo, da lahko dešifriramo datoteke, predlagamo, da pošljete več datotek za brezplačno dešifriranje.
E-poštni naslovi za stik z nami (ID za dešifriranje vpišite v naslov vašega sporočila):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'