Rorschach Ransomware

แรนซั่มแวร์ที่รู้จักในชื่อ Rorschach หรือ BabLock ได้รับการออกแบบมาเพื่อเข้ารหัสไฟล์และกำหนดเป้าหมายธุรกิจขนาดเล็กถึงขนาดกลาง ตลอดจนองค์กรอุตสาหกรรม เมื่อ Rorschach แพร่ระบาดในระบบ ไม่เพียงแต่เข้ารหัสข้อมูล แต่ยังเพิ่มสตริงอักขระแบบสุ่มตามด้วยตัวเลขสองหลักที่ส่วนท้ายของชื่อไฟล์ จุดประสงค์ของการแก้ไขนี้คือทำให้ผู้ที่ตกเป็นเหยื่อสังเกตเห็นได้ยากขึ้นว่าข้อมูลของตนถูกล็อก

รอร์แชคยังทิ้งไฟล์บันทึกเรียกค่าไถ่ชื่อ '_r_e_a_d_m_e.txt' และเปลี่ยนพื้นหลังเดสก์ท็อปปัจจุบันเพื่อข่มขู่เหยื่อ สตริงที่ต่อท้ายของอักขระสุ่มและตัวเลขสองหลักอาจแตกต่างกันไปขึ้นอยู่กับตัวแปรเฉพาะของแรนซัมแวร์

ข้อมูลที่ได้รับผลกระทบจาก Rorschach Ransomware จะไม่สามารถใช้งานได้

บันทึกเรียกค่าไถ่ที่ผู้โจมตีทิ้งไว้บนระบบที่ติดไวรัสทำหน้าที่เป็นการแจ้งเตือนว่าระบบของพวกเขาถูกบุกรุก ข้อมูลของพวกเขาถูกเข้ารหัส และข้อมูลสำรองของพวกเขาถูกลบ บันทึกยังอาจกล่าวถึงว่าข้อมูลที่เป็นความลับถูกขโมยโดยผู้โจมตี

โดยปกติแล้ว เอกสารเรียกค่าไถ่จะแนะนำให้ผู้ที่ตกเป็นเหยื่อไม่ต้องติดต่อตำรวจ เอฟบีไอ หรือหน่วยงานอื่นๆ จนกว่าจะชำระเงินค่าไถ่เรียบร้อยแล้ว นอกจากนี้ยังอาจทำให้ผู้ที่ตกเป็นเหยื่อไม่สามารถติดต่อกับบริษัทกู้คืนข้อมูล โดยอ้างว่าพวกเขาเป็นตัวกลางที่จะเรียกเก็บเงินจำนวนมากโดยไม่ให้ความช่วยเหลือใดๆ

บันทึกเรียกค่าไถ่ยังเตือนผู้ที่ตกเป็นเหยื่อว่าอย่าพยายามถอดรหัสไฟล์ด้วยตนเองหรือแก้ไขนามสกุลไฟล์ เนื่องจากอาจทำให้ไม่สามารถกู้คืนข้อมูลที่เข้ารหัสได้ ผู้โจมตีให้ที่อยู่อีเมล 2 ที่อยู่อีเมลเพื่อให้เหยื่อติดต่อและส่งไฟล์สองสามไฟล์เพื่อทดสอบการถอดรหัส - 'wvpater@onionmail.org' และ 'wvpater1@onionmail.org'

บันทึกค่าไถ่มีคำขู่ว่าหากไม่ชำระค่าไถ่ ผู้โจมตีจะเปิดการโจมตีอีกครั้งกับระบบของเหยื่อและลบข้อมูลทั้งหมดออกจากเครือข่ายของพวกเขา

Rorschach Ransomware สามารถแพร่ระบาดไปยังระบบ Windows และ Linux

Rorschach Ransomware เป็นภัยคุกคามที่ซับซ้อนซึ่งได้รับการออกแบบให้แพร่กระจายโดยอัตโนมัติเมื่อดำเนินการบน Windows Domain Controller (DC) เมื่อดำเนินการแล้ว แรนซั่มแวร์จะสร้าง Group Policy ซึ่งอนุญาตให้แพร่กระจายไปยังเครื่องอื่นภายในโดเมน คุณลักษณะนี้เคยเชื่อมโยงกับแรนซัมแวร์ประเภทอื่นที่เรียกว่า LockBit 2.0

Rorschach Ransomware มีความยืดหยุ่นสูงและมีข้อโต้แย้งเพิ่มเติมที่ช่วยให้สามารถปรับให้เข้ากับความต้องการของผู้ให้บริการได้ นอกจากนี้ยังมีฟังก์ชันเฉพาะ เช่น การใช้การเรียกระบบโดยตรงโดยใช้คำสั่ง "syscall" คุณสมบัติเหล่านี้ทำให้ตรวจจับและป้องกันได้ยาก

นอกจากนี้ แรนซัมแวร์ยังมีตัวเลือกในตัวหลายตัวที่ถูกปกปิดและปิดบังไว้ ทำให้สามารถเข้าถึงผ่านวิศวกรรมย้อนกลับของมัลแวร์เท่านั้น นี้อาจมีไว้เพื่อความสะดวกของผู้ประกอบการ

Rorschach Ransomware ใช้กระบวนการเข้ารหัสแบบไฮบริดที่รวมอัลกอริธึมการเข้ารหัสแบบ curve25519 และ eSTREAM hc-128 เพื่อเข้ารหัสไฟล์ของเหยื่อ ซึ่งแตกต่างจาก ransomware อื่น ๆ ซึ่งจะเข้ารหัสเนื้อหาไฟล์ต้นฉบับเพียงบางส่วนเท่านั้น แทนที่จะเข้ารหัสทั้งไฟล์ ทำให้กระบวนการเข้ารหัสเร็วขึ้นและมีประสิทธิภาพมากขึ้น

สิ่งสำคัญคือต้องทราบว่า Rorschach Ransomware กำหนดเป้าหมายทั้งระบบปฏิบัติการ Windows และ Linux Rorschach เวอร์ชัน Linux มีความคล้ายคลึงกับภัยคุกคาม Babuk Ransomware

ข้อความทั้งหมดของหมายเหตุค่าไถ่ที่ส่งโดย Rorschach Ransomware คือ:

'รหัสถอดรหัส:

สวัสดี เนื่องจากคุณกำลังอ่านข้อความนี้ แสดงว่าคุณถูกแฮ็ก
นอกจากการเข้ารหัสระบบทั้งหมดของคุณ ลบข้อมูลสำรองแล้ว เรายังดาวน์โหลดข้อมูลที่เป็นความลับของคุณด้วย
นี่คือสิ่งที่คุณไม่ควรทำ:
1) ติดต่อตำรวจ เอฟบีไอ หรือหน่วยงานอื่นๆ ก่อนที่ข้อตกลงของเราจะสิ้นสุดลง
2) ติดต่อบริษัทกู้คืนเพื่อให้พวกเขาดำเนินการสนทนากับเรา (สิ่งนี้อาจทำให้การฟื้นตัวช้าลงและทำให้การสื่อสารของเราเสียไป) อย่าไปกู้บริษัท พวกเขาเป็นแค่คนกลางที่จะหาเงินจากคุณและโกงคุณ เราทราบดีถึงกรณีที่บริษัทกู้ข้อมูลบอกคุณว่าค่าไถ่อยู่ที่ 5 ล้านดอลลาร์ แต่ในความเป็นจริงแล้วพวกเขาแอบเจรจากับ เราด้วยเงิน 1 ล้านดอลลาร์ ดังนั้นพวกเขาจึงได้รับ 4 ล้านดอลลาร์จากคุณ หากคุณติดต่อเราโดยตรงโดยไม่มีคนกลาง คุณจะจ่ายน้อยลง 5 เท่า นั่นคือ 1 ล้านดอลลาร์
3) อย่าพยายามถอดรหัสไฟล์ด้วยตัวเองและอย่าเปลี่ยนนามสกุลไฟล์ด้วยตัวคุณเอง !!! สิ่งนี้สามารถนำไปสู่ความเป็นไปไม่ได้ในการถอดรหัส

นี่คือสิ่งที่คุณควรทำทันทีหลังจากอ่าน:
1) หากคุณเป็นพนักงานธรรมดา ให้ส่งข้อความของเราถึง CEO ของบริษัท เช่นเดียวกับแผนกไอที
2) หากคุณเป็น CEO หรือผู้เชี่ยวชาญในแผนก IT หรือบุคคลอื่นที่มีอำนาจในบริษัท คุณควรติดต่อเราทางอีเมลภายใน 24 ชั่วโมง

หากคุณไม่จ่ายค่าไถ่ เราจะโจมตีบริษัทของคุณอีกครั้งในอนาคต ในอีกไม่กี่สัปดาห์ เราจะทำการโจมตีซ้ำอีกครั้งและลบข้อมูลทั้งหมดของคุณออกจากเครือข่ายของคุณ ซึ่งจะนำไปสู่การไม่สามารถใช้งานได้!

เพื่อรับประกันว่าเราสามารถถอดรหัสไฟล์ได้ เราขอแนะนำให้คุณส่งไฟล์หลายไฟล์เพื่อถอดรหัสฟรี
อีเมลติดต่อเรา (เขียน ID ถอดรหัสในชื่อข้อความของคุณ):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'