Попусти за више лиценци
Threat Database Ransomware Rorschach Ransomware

Rorschach Ransomware

До Mezo. у Ransomware
Преведи на:
Српски

Рансомвер познат као Рорсцхацх, или БабЛоцк, дизајниран је да шифрује датотеке и циља мала и средња предузећа, као и индустријске организације. Када Рорсцхацх инфицира систем, он не само да шифрује податке већ и додаје насумични низ знакова праћен двоцифреним бројем на крају имена датотека. Сврха ове модификације је да отежа жртвама да примете да су њихови подаци закључани.

Рорсцхацх такође испушта датотеку са белешком о откупнини под називом „_р_е_а_д_м_е.ткт“ и мења тренутну позадину радне површине да би додатно застрашио жртву. Додати низ насумичних знакова и двоцифрени број могу се разликовати у зависности од одређене варијанте рансомваре-а.

Подаци на које утиче Рорсцхацх Рансомваре постају неупотребљиви

Порука о откупнини коју су нападачи оставили на зараженом систему служи као обавештење да је њихов систем компромитован, да су њихови подаци шифровани и да су њихове резервне копије избрисане. У белешци се такође може навести да су поверљиве информације украли нападачи.

Обавештење о откупнини обично упућује жртвама да не контактирају полицију, ФБИ или друге власти док се откупнина не изврши. То такође може обесхрабрити жртве да контактирају компаније за опоравак података, тврдећи да су они посредници који ће наплатити велику суму новца без пружања помоћи.

Обавештење о откупнини такође упозорава жртве да не покушавају саме да дешифрују датотеке или да модификују екстензије датотека, јер то може онемогућити опоравак шифрованих података. Нападачи обезбеђују две адресе е-поште жртвама да их контактирају и пошаљу неколико датотека за тестирање дешифровања – „ввпатер@онионмаил.орг“ и „ввпатер1@онионмаил.орг“.

Обавештење о откупнини садржи претњу да ће, ако се откупнина не изврши, нападачи покренути још један напад на систем жртве и избрисати све податке са својих мрежа.

Рорсцхацх Рансомваре може заразити Виндовс и Линук системе

Рорсцхацх Рансомваре је софистицирана претња која је дизајнирана да се аутоматски шири када се изврши на Виндовс контролеру домена (ДЦ). Када се изврши, рансомваре креира групну политику, која му омогућава да се прошири на друге машине унутар домена. Ова функција је раније била повезана са другом врстом рансомваре-а познатим као ЛоцкБит 2.0.

Рорсцхацх Рансомваре је веома флексибилан и има опционе аргументе који му омогућавају да се прилагоди потребама оператера. Такође има јединствене функције, као што је коришћење директних системских позива коришћењем инструкције „сисцалл“. Ове карактеристике отежавају откривање и одбрану од њих.

Поред тога, рансомвер има неколико уграђених опција које су скривене и прикривене, што их чини доступним само путем обрнутог инжењеринга малвера. Ово може бити намењено за удобност оператера.

Рорсцхацх Рансомваре користи хибридни криптографски процес који комбинује алгоритме цурве25519 и еСТРЕАМ ципхер хц-128 за шифровање датотека жртве. За разлику од других рансомваре-а, он шифрује само одређени део оригиналног садржаја датотеке, а не целу датотеку. Ово чини процес шифровања бржим и ефикаснијим.

Важно је напоменути да Рорсцхацх Рансомваре циља и Виндовс и Линук оперативне системе. Линук варијанте Рорсцхацх-а имају сличности са претњом Бабук Рансомваре.

Потпуни текст поруке о откупнини коју је доставио Рорсцхацх Рансомваре је:

'ИД дешифровања:

Здраво, пошто читате ово значи да сте хаковани.
Поред шифровања свих ваших система, брисања резервних копија, преузели смо и ваше поверљиве информације.
Ево шта не би требало да радите:
1) Контактирајте полицију, ФБИ или друге органе пре краја нашег договора.
2) Контактирајте компанију за опоравак како би они водили дијалог са нама. (Ово може успорити опоравак и поништити нашу комуникацију). Не идите у компаније за опоравак, оне су у суштини само посредници који ће зарадити новац од вас и преварити вас. Добро смо упознати са случајевима у којима вам компаније за опоравак кажу да је цена откупа 5 милиона долара, али они у ствари тајно преговарају са нас за 1 милион долара, па они од вас зарађују 4 милиона долара. Да нам се обратите директно без посредника платили бисте 5 пута мање, то је милион долара.
3) Не покушавајте сами да дешифрујете датотеке, као ни да сами не мењате екстензију датотеке !!! То може довести до немогућности њиховог дешифровања.

Ево шта треба да урадите одмах након што га прочитате:
1) Ако сте обичан радник, пошаљите нашу поруку генералном директору компаније, као и ИТ одељењу.
2) Ако сте генерални директор, или специјалиста у ИТ одељењу, или друга особа која има тежину у компанији, треба да нас контактирате у року од 24 сата путем е-поште.

Ако не платите откуп, ми ћемо поново напасти вашу компанију у будућности. За неколико недеља ћемо једноставно поновити напад и избрисати све ваше податке са ваших мрежа, ШТО ЋЕ ДОВЕСТИ ДО ЊИХОВЕ НЕДОСТУПНОСТИ!

Као гаранцију да можемо да дешифрујемо датотеке, предлажемо да пошаљете неколико датотека на бесплатно дешифровање.
Пошта да нас контактирате (напишите ИД за дешифровање у наслов поруке):
1)ввпатер@онионмаил.орг
2)ввпатер1@онионмаил.орг'

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
15,882
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...