Rorschach Ransomware
Ang ransomware na kilala bilang Rorschach, o BabLock, ay idinisenyo upang i-encrypt ang mga file at i-target ang maliliit hanggang katamtamang laki ng mga negosyo, gayundin ang mga pang-industriyang organisasyon. Kapag na-infect ng Rorschach ang isang system, hindi lang ito nag-e-encrypt ng data kundi nagdadagdag din ng random na string ng mga character na sinusundan ng dalawang-digit na numero sa dulo ng mga filename. Ang layunin ng pagbabagong ito ay upang gawing mas mahirap para sa mga biktima na mapansin na ang kanilang data ay naka-lock.
Nag-drop din si Rorschach ng ransom note file na tinatawag na '_r_e_a_d_m_e.txt' at binago ang kasalukuyang background sa desktop upang lalo pang takutin ang biktima. Ang nakadugtong na string ng mga random na character at ang dalawang-digit na numero ay maaaring mag-iba depende sa partikular na variant ng ransomware.
Ang Data na Naapektuhan ng Rorschach Ransomware ay Nagiging Hindi Nagagamit
Ang ransom note na iniwan ng mga umaatake sa infected na system ay nagsisilbing abiso na ang kanilang system ay nakompromiso, ang kanilang data ay na-encrypt, at ang kanilang mga backup ay tinanggal. Maaaring banggitin din ng tala na ang kumpidensyal na impormasyon ay ninakaw ng mga umaatake.
Ang ransom note ay karaniwang nagtuturo sa mga biktima na huwag makipag-ugnayan sa pulisya, FBI, o iba pang awtoridad hanggang sa mabayaran ang ransom. Maaari rin nitong pigilan ang mga biktima na makipag-ugnayan sa mga kumpanya ng data recovery, na sinasabing sila ay mga tagapamagitan na maniningil ng malaking halaga ng pera nang hindi nagbibigay ng anumang tulong.
Binabalaan din ng ransom note ang mga biktima na huwag subukang i-decrypt ang mga file sa kanilang sarili o baguhin ang mga extension ng file, dahil maaaring maging imposible nitong mabawi ang naka-encrypt na data. Ang mga umaatake ay nagbibigay ng dalawang email address para sa mga biktima upang makipag-ugnayan sa kanila at magpadala ng ilang mga file para sa pag-decryption ng pagsubok - 'wvpater@onionmail.org' at 'wvpater1@onionmail.org.'
Ang ransom note ay naglalaman ng banta na kung ang pagbabayad ng ransom ay hindi ginawa, ang mga umaatake ay maglulunsad ng isa pang pag-atake laban sa system ng biktima at tatanggalin ang lahat ng data mula sa kanilang mga network.
Ang Rorschach Ransomware ay maaaring makahawa sa Windows at Linux Systems
Ang Rorschach Ransomware ay isang sopistikadong banta na idinisenyo upang awtomatikong kumalat kapag ipinatupad sa isang Windows Domain Controller (DC). Sa sandaling naisakatuparan, ang ransomware ay lumilikha ng isang Patakaran ng Grupo, na nagpapahintulot na kumalat ito sa iba pang mga makina sa loob ng domain. Ang tampok na ito ay dati nang nauugnay sa isa pang uri ng ransomware na kilala bilang LockBit 2.0.
Ang Rorschach Ransomware ay lubos na nababaluktot at may mga opsyonal na argumento na nagbibigay-daan dito upang umangkop sa mga pangangailangan ng operator. Mayroon din itong mga natatanging function, tulad ng paggamit ng mga direktang tawag sa system gamit ang pagtuturo ng "syscall". Ang mga tampok na ito ay napakahirap na matukoy at ipagtanggol laban.
Bilang karagdagan, ang ransomware ay may ilang mga built-in na opsyon na nakatago at nakakubli, na ginagawang maa-access lamang ang mga ito sa pamamagitan ng reverse-engineering ng malware. Ito ay maaaring inilaan para sa kaginhawahan ng mga operator.
Gumagamit ang Rorschach Ransomware ng hybrid na proseso ng cryptography na pinagsasama ang curve25519 at eSTREAM cipher hc-128 algorithm upang i-encrypt ang mga file ng biktima. Hindi tulad ng iba pang ransomware, ini-encrypt lamang nito ang isang partikular na bahagi ng orihinal na nilalaman ng file, sa halip na ang buong file. Ginagawa nitong mas mabilis at mas mahusay ang proseso ng pag-encrypt.
Mahalagang tandaan na ang Rorschach Ransomware ay nagta-target sa parehong Windows at Linux operating system. Ang mga variant ng Linux ng Rorschach ay may pagkakatulad sa banta ng Babuk Ransomware.
Ang buong teksto ng ransom note na inihatid ng Rorschach Ransomware ay:
'Decryption ID:
Hi, dahil binabasa mo ito ibig sabihin na-hack ka.
Bilang karagdagan sa pag-encrypt ng lahat ng iyong system, pagtanggal ng mga backup, na-download din namin ang iyong kumpidensyal na impormasyon.
Narito ang hindi mo dapat gawin:
1) Makipag-ugnayan sa pulis, fbi o iba pang awtoridad bago matapos ang aming deal.
2) Makipag-ugnayan sa kumpanya ng pagbawi upang magsagawa sila ng mga diyalogo sa amin. (Maaari nitong pabagalin ang pagbawi, at ilagay sa wala ang ating komunikasyon). Huwag pumunta sa mga recovery company, sila ay mga middlemen lang na kikita sa iyo at dayain ka. Alam na alam namin ang mga kaso kung saan sinabi sa iyo ng mga recovery company na ang presyo ng ransom ay 5 milyong dolyar, ngunit sa katunayan sila ay lihim na nakikipag-usap sa sa amin para sa 1 milyong dolyar, kaya kumita sila ng 4 milyong dolyar mula sa iyo. Kung direktang lumapit ka sa amin nang walang mga tagapamagitan, magbabayad ka ng 5 beses na mas mababa, iyon ay 1 milyong dolyar.
3) Huwag subukang i-decrypt ang mga file sa iyong sarili, pati na rin huwag baguhin ang extension ng file sa iyong sarili !!! Ito ay maaaring humantong sa imposibilidad ng kanilang pag-decryption.Narito ang dapat mong gawin pagkatapos basahin ito:
1) Kung ikaw ay isang ordinaryong empleyado, ipadala ang aming mensahe sa CEO ng kumpanya, gayundin sa IT department.
2) Kung ikaw ay isang CEO, o isang espesyalista sa departamento ng IT, o ibang tao na may timbang sa kumpanya, dapat kang makipag-ugnayan sa amin sa loob ng 24 na oras sa pamamagitan ng email.Kung hindi ka magbabayad ng ransom, aatakehin namin muli ang iyong kumpanya sa hinaharap. Sa loob ng ilang linggo, uulitin lang namin ang aming pag-atake at tatanggalin ang lahat ng iyong data mula sa iyong mga network, NA MAGHAHAHONG SA KANILANG UNAVAILABILITY!
Bilang isang garantiya na maaari naming i-decrypt ang mga file, iminumungkahi namin na magpadala ka ng ilang mga file para sa libreng pag-decryption.
Mga mail para makipag-ugnayan sa amin (Isulat ang decryption ID sa pamagat ng iyong mensahe):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'
