Rorschach Ransomware

Rorschach లేదా BabLock అని పిలువబడే ransomware ఫైల్‌లను గుప్తీకరించడానికి మరియు చిన్న నుండి మధ్య తరహా వ్యాపారాలు, అలాగే పారిశ్రామిక సంస్థలను లక్ష్యంగా చేసుకోవడానికి రూపొందించబడింది. Rorschach ఒక సిస్టమ్‌కు సోకినప్పుడు, అది డేటాను ఎన్‌క్రిప్ట్ చేయడమే కాకుండా ఫైల్ పేర్ల చివరిలో రెండు అంకెల సంఖ్యను అనుసరించే యాదృచ్ఛిక అక్షరాల స్ట్రింగ్‌ను కూడా జోడిస్తుంది. బాధితులు తమ డేటా లాక్ చేయబడిందని గమనించడాన్ని మరింత కష్టతరం చేయడం ఈ సవరణ యొక్క ఉద్దేశ్యం.

Rorschach '_r_e_a_d_m_e.txt' అనే రాన్సమ్ నోట్ ఫైల్‌ను కూడా వదులుతుంది మరియు బాధితుడిని మరింత భయపెట్టడానికి ప్రస్తుత డెస్క్‌టాప్ నేపథ్యాన్ని మారుస్తుంది. ransomware యొక్క నిర్దిష్ట రూపాంతరాన్ని బట్టి యాదృచ్ఛిక అక్షరాల యొక్క అనుబంధ స్ట్రింగ్ మరియు రెండు-అంకెల సంఖ్య మారవచ్చు.

Rorschach Ransomware ద్వారా ప్రభావితమైన డేటా నిరుపయోగంగా మారుతుంది

సోకిన సిస్టమ్‌పై దాడి చేసేవారు వదిలిపెట్టిన విమోచన నోట్ వారి సిస్టమ్ రాజీపడిందని, వారి డేటా ఎన్‌క్రిప్ట్ చేయబడిందని మరియు వారి బ్యాకప్‌లు తొలగించబడిందని నోటిఫికేషన్‌గా పనిచేస్తుంది. దాడి చేసినవారు రహస్య సమాచారాన్ని దొంగిలించారని కూడా నోట్‌లో పేర్కొనవచ్చు.

విమోచన నోట్ సాధారణంగా విమోచన చెల్లింపు జరిగే వరకు పోలీసులు, FBI లేదా ఇతర అధికారులను సంప్రదించకూడదని బాధితులను నిర్దేశిస్తుంది. ఇది డేటా రికవరీ కంపెనీలను సంప్రదించకుండా బాధితులను నిరుత్సాహపరుస్తుంది, వారు ఎటువంటి సహాయం అందించకుండా పెద్ద మొత్తంలో డబ్బు వసూలు చేసే మధ్యవర్తులు అని పేర్కొన్నారు.

రాన్సమ్ నోట్ బాధితులు ఫైల్‌లను స్వయంగా డీక్రిప్ట్ చేయడానికి లేదా ఫైల్ ఎక్స్‌టెన్షన్‌లను సవరించడానికి ప్రయత్నించవద్దని హెచ్చరిస్తుంది, ఎందుకంటే ఇది ఎన్‌క్రిప్టెడ్ డేటాను తిరిగి పొందడం సాధ్యం కాదు. దాడి చేసేవారు బాధితులు తమను సంప్రదించడానికి రెండు ఇమెయిల్ చిరునామాలను అందిస్తారు మరియు పరీక్ష డీక్రిప్షన్ కోసం కొన్ని ఫైల్‌లను పంపుతారు - 'wvpater@onionmail.org' మరియు 'wvpater1@onionmail.org.'

విమోచన నోట్‌లో విమోచన చెల్లింపు చేయకపోతే, దాడి చేసేవారు బాధితుడి సిస్టమ్‌పై మరో దాడిని ప్రారంభిస్తారని మరియు వారి నెట్‌వర్క్‌ల నుండి మొత్తం డేటాను తొలగిస్తారని బెదిరింపు ఉంది.

Rorschach Ransomware Windows మరియు Linux సిస్టమ్‌లను ప్రభావితం చేయగలదు

Rorschach Ransomware అనేది ఒక అధునాతన ముప్పు, ఇది Windows డొమైన్ కంట్రోలర్ (DC)లో అమలు చేయబడినప్పుడు స్వయంచాలకంగా వ్యాప్తి చెందేలా రూపొందించబడింది. ఒకసారి అమలు చేయబడిన తర్వాత, ransomware గ్రూప్ పాలసీని సృష్టిస్తుంది, ఇది డొమైన్‌లోని ఇతర మెషీన్‌లకు వ్యాప్తి చెందడానికి అనుమతిస్తుంది. ఈ ఫీచర్ గతంలో లాక్‌బిట్ 2.0 అని పిలువబడే మరొక రకమైన ransomwareతో అనుబంధించబడింది.

Rorschach Ransomware అత్యంత అనువైనది మరియు ఆపరేటర్ యొక్క అవసరాలకు అనుగుణంగా దానిని ఎనేబుల్ చేసే ఐచ్ఛిక వాదనలను కలిగి ఉంది. ఇది "syscall" సూచనను ఉపయోగించి డైరెక్ట్ సిస్టమ్ కాల్‌లను ఉపయోగించడం వంటి ప్రత్యేక విధులను కూడా కలిగి ఉంది. ఈ లక్షణాలు గుర్తించడం మరియు వాటి నుండి రక్షించడం చాలా కష్టతరం చేస్తాయి.

అదనంగా, ransomware అనేక అంతర్నిర్మిత ఎంపికలను కలిగి ఉంది, అవి దాగి మరియు అస్పష్టంగా ఉంటాయి, మాల్వేర్‌ను రివర్స్-ఇంజనీరింగ్ చేయడం ద్వారా మాత్రమే వాటిని యాక్సెస్ చేయగలవు. ఇది ఆపరేటర్ల సౌలభ్యం కోసం ఉద్దేశించబడింది.

Rorschach Ransomware బాధితుల ఫైల్‌లను గుప్తీకరించడానికి curve25519 మరియు eSTREAM సైఫర్ hc-128 అల్గారిథమ్‌లను కలిపి ఒక హైబ్రిడ్ క్రిప్టోగ్రఫీ ప్రక్రియను ఉపయోగిస్తుంది. ఇతర ransomware వలె కాకుండా, ఇది మొత్తం ఫైల్ కాకుండా అసలు ఫైల్ కంటెంట్‌లో కొంత భాగాన్ని మాత్రమే గుప్తీకరిస్తుంది. ఇది ఎన్క్రిప్షన్ ప్రక్రియను వేగవంతంగా మరియు మరింత సమర్థవంతంగా చేస్తుంది.

Rorschach Ransomware Windows మరియు Linux ఆపరేటింగ్ సిస్టమ్‌లను లక్ష్యంగా చేసుకుంటుందని గమనించడం ముఖ్యం. రోర్స్‌చాచ్ యొక్క లైనక్స్ వేరియంట్‌లు బాబుక్ రాన్సమ్‌వేర్ ముప్పుతో సారూప్యతను కలిగి ఉన్నాయి.

Rorschach Ransomware ద్వారా పంపిణీ చేయబడిన విమోచన నోట్ పూర్తి పాఠం:

'డిక్రిప్షన్ ID:

హాయ్, మీరు దీన్ని చదువుతున్నారు కాబట్టి మీరు హ్యాక్ చేయబడ్డారని అర్థం.
మీ అన్ని సిస్టమ్‌లను గుప్తీకరించడం, బ్యాకప్‌లను తొలగించడంతోపాటు, మేము మీ రహస్య సమాచారాన్ని కూడా డౌన్‌లోడ్ చేసాము.
మీరు చేయకూడనివి ఇక్కడ ఉన్నాయి:
1) మా ఒప్పందం ముగిసేలోపు పోలీసులు, fbi లేదా ఇతర అధికారులను సంప్రదించండి.
2) రికవరీ కంపెనీని సంప్రదించండి, తద్వారా వారు మాతో సంభాషణలు నిర్వహిస్తారు. (ఇది రికవరీని నెమ్మదిస్తుంది మరియు మా కమ్యూనికేషన్‌ను శూన్యం చేస్తుంది). రికవరీ కంపెనీల వద్దకు వెళ్లవద్దు, వారు మీ నుండి డబ్బు సంపాదించి మిమ్మల్ని మోసం చేసే మధ్యవర్తులు మాత్రమే. విమోచన ధర 5 మిలియన్ డాలర్లు అని రికవరీ కంపెనీలు మీకు చెప్పే సందర్భాల గురించి మాకు బాగా తెలుసు, కానీ వాస్తవానికి వారు రహస్యంగా చర్చలు జరుపుతారు. మాకు 1 మిలియన్ డాలర్లు, కాబట్టి వారు మీ నుండి 4 మిలియన్ డాలర్లు సంపాదిస్తారు. మీరు మధ్యవర్తులు లేకుండా నేరుగా మమ్మల్ని సంప్రదించినట్లయితే మీరు 5 రెట్లు తక్కువ చెల్లించాలి, అంటే 1 మిలియన్ డాలర్లు.
3) ఫైల్‌లను మీరే డీక్రిప్ట్ చేయడానికి ప్రయత్నించవద్దు, అలాగే ఫైల్ పొడిగింపును మీరే మార్చవద్దు !!! ఇది వారి డిక్రిప్షన్ యొక్క అసంభవానికి దారి తీస్తుంది.

దీన్ని చదివిన వెంటనే మీరు ఏమి చేయాలి:
1) మీరు సాధారణ ఉద్యోగి అయితే, మా సందేశాన్ని కంపెనీ CEOకి, అలాగే IT విభాగానికి పంపండి.
2) మీరు CEO అయితే, లేదా IT విభాగంలో నిపుణుడు లేదా కంపెనీలో బరువు ఉన్న మరొక వ్యక్తి అయితే, మీరు ఇమెయిల్ ద్వారా 24 గంటల్లో మమ్మల్ని సంప్రదించాలి.

మీరు విమోచన క్రయధనాన్ని చెల్లించకుంటే, భవిష్యత్తులో మేము మీ కంపెనీపై మళ్లీ దాడి చేస్తాము. కొన్ని వారాలలో, మేము మా దాడిని పునరావృతం చేస్తాము మరియు మీ నెట్‌వర్క్‌ల నుండి మీ మొత్తం డేటాను తొలగిస్తాము, ఇది వారి అందుబాటులో లేని స్థితికి దారి తీస్తుంది!

మేము ఫైల్‌లను డీక్రిప్ట్ చేయగలమని హామీగా, మీరు ఉచిత డీక్రిప్షన్ కోసం అనేక ఫైల్‌లను పంపమని మేము సూచిస్తున్నాము.
మమ్మల్ని సంప్రదించవలసిన మెయిల్స్ (మీ సందేశం యొక్క శీర్షికలో డిక్రిప్షన్ IDని వ్రాయండి):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'