Rorschach Ransomware

Ransomware känd som Rorschach, eller BabLock, är designad för att kryptera filer och rikta in sig på små till medelstora företag, såväl som industriorganisationer. När Rorschach infekterar ett system, krypterar det inte bara data utan lägger också till en slumpmässig sträng av tecken följt av ett tvåsiffrigt nummer i slutet av filnamnen. Syftet med denna ändring är att göra det svårare för offer att märka att deras data har låsts.

Rorschach släpper också en lösennotisfil som heter '_r_e_a_d_m_e.txt' och ändrar den aktuella skrivbordsbakgrunden för att ytterligare skrämma offret. Den bifogade strängen med slumpmässiga tecken och det tvåsiffriga numret kan variera beroende på den specifika varianten av ransomware.

Datan som påverkas av Rorschach Ransomware blir oanvändbar

Lösensedeln som angriparna lämnat på det infekterade systemet fungerar som ett meddelande om att deras system har äventyrats, deras data har krypterats och deras säkerhetskopior har raderats. Anteckningen kan också nämna att konfidentiell information har stulits av angriparna.

Lösennotan instruerar vanligtvis offren att inte kontakta polisen, FBI eller andra myndigheter förrän lösensumman har betalats ut. Det kan också avskräcka offer från att kontakta dataåterställningsföretag och hävda att de är mellanhänder som kommer att ta ut en stor summa pengar utan att ge någon hjälp.

Lösenedeln varnar också offer för att inte försöka dekryptera filerna själva eller ändra filtilläggen, eftersom detta kan göra det omöjligt att återställa den krypterade informationen. Angriparna tillhandahåller två e-postadresser för offren att kontakta dem och skicka några filer för testdekryptering - 'wvpater@onionmail.org' och 'wvpater1@onionmail.org'.

Lösensedeln innehåller ett hot om att om lösenbetalningen inte görs kommer angriparna att starta ytterligare en attack mot offrets system och radera all data från deras nätverk.

Rorschach Ransomware kan infektera Windows och Linux-system

Rorschach Ransomware är ett sofistikerat hot som är utformat för att spridas automatiskt när det körs på en Windows Domain Controller (DC). När ransomwaren väl har körts skapar den en gruppolicy som gör att den kan spridas till andra maskiner inom domänen. Den här funktionen har tidigare associerats med en annan typ av ransomware som kallas LockBit 2.0.

Rorschach Ransomware är mycket flexibel och har valfria argument som gör att den kan anpassa sig efter operatörens behov. Den har också unika funktioner, såsom användning av direkta systemanrop med hjälp av "syscall"-instruktionen. Dessa funktioner gör det mycket svårt att upptäcka och försvara sig mot.

Dessutom har ransomware flera inbyggda alternativ som är dolda och dolda, vilket gör dem tillgängliga endast genom omvänd konstruktion av skadlig programvara. Detta kan vara avsett för operatörernas bekvämlighet.

Rorschach Ransomware använder en hybrid kryptografiprocess som kombinerar algoritmerna curve25519 och eSTREAM-chifferet hc-128 för att kryptera offrets filer. Till skillnad från andra ransomware, krypterar det bara en viss del av originalfilens innehåll, snarare än hela filen. Detta gör krypteringsprocessen snabbare och effektivare.

Det är viktigt att notera att Rorschach Ransomware riktar sig till både Windows och Linux operativsystem. Linux-varianterna av Rorschach har likheter med Babuk Ransomware-hotet.

Den fullständiga texten i lösennotan som levereras av Rorschach Ransomware är:

'Dekrypterings-ID:

Hej, eftersom du läser detta betyder det att du har blivit hackad.
Förutom att kryptera alla dina system, ta bort säkerhetskopior, laddade vi även ner din konfidentiella information.
Det här är vad du inte bör göra:
1) Kontakta polisen, fbi eller andra myndigheter innan vår affär löper ut.
2) Kontakta återvinningsföretaget så att de skulle föra dialoger med oss. (Detta kan sakta ner återhämtningen och göra vår kommunikation till intet). Gå inte till återvinningsföretag, de är i princip bara mellanhänder som kommer att tjäna pengar på dig och lura dig. Vi är väl medvetna om fall där återvinningsföretag säger till dig att lösensumman är 5 miljoner dollar, men i själva verket förhandlar de i hemlighet med oss för 1 miljon dollar, så de tjänar 4 miljoner dollar på dig. Om du kontaktade oss direkt utan mellanhänder skulle du betala 5 gånger mindre, det vill säga 1 miljon dollar.
3) Försök inte att dekryptera filerna själv, samt ändra inte filtillägget själv !!! Detta kan leda till omöjligheten av deras dekryptering.

Här är vad du bör göra direkt efter att du har läst den:
1) Om du är en vanlig anställd, skicka vårt meddelande till företagets VD, samt till IT-avdelningen.
2) Om du är VD, eller specialist på IT-avdelningen, eller annan person som har tyngd i företaget ska du kontakta oss inom 24 timmar via mejl.

Om du inte betalar lösensumman kommer vi att attackera ditt företag igen i framtiden. Om några veckor kommer vi helt enkelt att upprepa vår attack och radera all din data från dina nätverk, SOM KOMMER TILL ATT DERAS Otillgänglighet!

Som en garanti för att vi kan dekryptera filerna föreslår vi att du skickar flera filer för gratis dekryptering.
Mailar att kontakta oss (Skriv dekrypterings-ID i rubriken på ditt meddelande):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'