Rorschach Ransomware

Rorschach veya BabLock olarak bilinen fidye yazılımı, dosyaları şifrelemek ve küçük ve orta ölçekli işletmelerin yanı sıra endüstriyel kuruluşları hedeflemek için tasarlanmıştır. Rorschach bir sisteme bulaştığında, yalnızca verileri şifrelemekle kalmaz, aynı zamanda dosya adlarının sonuna iki basamaklı bir sayının ardından rastgele bir karakter dizisi ekler. Bu değişikliğin amacı, mağdurların verilerinin kilitlendiğini fark etmelerini zorlaştırmaktır.

Rorschach ayrıca '_r_e_a_d_m_e.txt' adlı bir fidye notu dosyası bırakır ve kurbanın gözünü daha fazla korkutmak için mevcut masaüstü arka planını değiştirir. Eklenen rasgele karakter dizisi ve iki basamaklı sayı, fidye yazılımının belirli varyantına bağlı olarak değişebilir.

Rorschach Fidye Yazılımından Etkilenen Veriler Kullanılamaz Hale Geliyor

Saldırganların bulaştığı sisteme bıraktıkları fidye notu, sistemlerinin ele geçirildiğini, verilerinin şifrelendiğini ve yedeklerinin silindiğini bildiren bir bildirim işlevi görür. Notta, gizli bilgilerin saldırganlar tarafından çalındığından da bahsedilebilir.

Fidye notu tipik olarak kurbanlara fidye ödemesi yapılana kadar polis, FBI veya diğer yetkililerle iletişime geçmemeleri talimatını verir. Ayrıca, herhangi bir yardım sağlamadan büyük miktarda para talep edecek aracılar olduklarını iddia ederek mağdurları veri kurtarma şirketleriyle iletişime geçmekten caydırabilir.

Fidye notu ayrıca kurbanları dosyaların şifresini çözmeye veya dosya uzantılarını değiştirmeye çalışmamaları konusunda uyarır, çünkü bu, şifrelenmiş verilerin kurtarılmasını imkansız hale getirebilir. Saldırganlar, kurbanların kendileriyle iletişim kurması için iki e-posta adresi sağlar ve test şifresini çözmek için birkaç dosya gönderir - 'wvpater@onionmail.org' ve 'wvpater1@onionmail.org.'

Fidye notu, fidye ödemesi yapılmadığı takdirde saldırganların kurbanın sistemine başka bir saldırı başlatacağı ve ağlarındaki tüm verileri sileceği tehdidini içerir.

Rorschach Fidye Yazılımı Windows ve Linux Sistemlerini Etkileyebilir

Rorschach Fidye Yazılımı, bir Windows Etki Alanı Denetleyicisi'nde (DC) çalıştırıldığında otomatik olarak yayılmak üzere tasarlanmış gelişmiş bir tehdittir. Fidye yazılımı çalıştırıldıktan sonra, etki alanındaki diğer makinelere yayılmasına izin veren bir Grup İlkesi oluşturur. Bu özellik daha önce LockBit 2.0 olarak bilinen başka bir fidye yazılımı türüyle ilişkilendirilmişti.

Rorschach Fidye Yazılımı oldukça esnektir ve operatörün ihtiyaçlarına uyum sağlamasına olanak tanıyan isteğe bağlı argümanlara sahiptir. Ayrıca, "sistem çağrısı" komutunu kullanarak doğrudan sistem çağrılarının kullanılması gibi benzersiz işlevlere de sahiptir. Bu özellikler tespit edilmesini ve savunma yapılmasını oldukça zorlaştırır.

Ek olarak, fidye yazılımı, yalnızca kötü amaçlı yazılımın tersine mühendislik yoluyla erişilebilmesini sağlayan, gizlenmiş ve gizlenmiş birkaç yerleşik seçeneğe sahiptir. Bu, operatörlerin rahatlığı için amaçlanmış olabilir.

Rorschach Fidye Yazılımı, kurbanın dosyalarını şifrelemek için curve25519 ve eSTREAM cipher hc-128 algoritmalarını birleştiren hibrit bir şifreleme işlemi kullanır. Diğer fidye yazılımlarından farklı olarak, dosyanın tamamı yerine orijinal dosya içeriğinin yalnızca belirli bir bölümünü şifreler. Bu, şifreleme işlemini daha hızlı ve daha verimli hale getirir.

Rorschach Ransomware'in hem Windows hem de Linux işletim sistemlerini hedef aldığını unutmamak önemlidir. Rorschach'ın Linux varyantları, Babuk Fidye Yazılımı tehdidiyle benzerlikler taşır.

Rorschach Ransomware tarafından gönderilen fidye notunun tam metni:

'Şifre çözme kimliği:

Merhaba, bunu okuyorsan hack'lenmişsin demektir.
Tüm sistemlerinizi şifrelemenin, yedekleri silmenin yanı sıra gizli bilgilerinizi de indirdik.
İşte yapmamanız gerekenler:
1) Anlaşmamız bitmeden önce polis, FBI veya diğer yetkililerle iletişime geçin.
2) Bizimle diyalog kurmaları için kurtarma şirketiyle iletişime geçin. (Bu, iyileşmeyi yavaşlatabilir ve iletişimimizi boşa çıkarabilir). Kurtarma şirketlerine gitmeyin, onlar aslında sadece sizden para kazanacak ve sizi dolandıracak aracılardır. Kurtarma şirketlerinin size fidye bedelinin 5 milyon dolar olduğunu söylediği, ancak gerçekte fidye ile gizlice pazarlık yaptıkları durumların gayet iyi farkındayız. Bizden 1 milyon dolar alıyorlar, yani sizden 4 milyon dolar kazanıyorlar. Bize aracısız doğrudan ulaşsanız 5 kat daha az ödersiniz yani 1 milyon dolar.
3) Dosyaların şifresini kendiniz çözmeye çalışmayın ve dosya uzantısını kendiniz değiştirmeyin !!! Bu, şifre çözmelerinin imkansızlığına yol açabilir.

İşte okuduktan hemen sonra yapmanız gerekenler:
1) Sıradan bir çalışansanız, mesajımızı şirketin CEO'suna ve ayrıca BT departmanına gönderin.
2) CEO veya BT departmanı uzmanı veya şirkette ağırlığı olan başka bir kişi iseniz, 24 saat içinde e-posta ile bizimle iletişime geçmelisiniz.

Fidyeyi ödemezseniz, gelecekte şirketinize tekrar saldıracağız. Birkaç hafta içinde, saldırımızı tekrarlayıp ağlarınızdan tüm verilerinizi sileceğiz ve bu da ONLARIN KULLANILAMAMASINA YOL AÇACAK!

Dosyaların şifresini çözebileceğimizin garantisi olarak, ücretsiz şifre çözme için birkaç dosya göndermenizi öneririz.
Bize ulaşmak için postalar(Mesajınızın başlığına şifre çözme kimliğini yazın):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'