Rorschach Ransomware

Програма-вимагач, відома як Rorschach або BabLock, призначена для шифрування файлів і спрямована на малий і середній бізнес, а також промислові організації. Коли Роршах заражає систему, він не тільки шифрує дані, але й додає випадковий рядок символів, за якими йде двозначне число в кінці імен файлів. Мета цієї модифікації полягає в тому, щоб жертвам було важче помітити, що їхні дані заблоковано.

Роршах також скидає файл записки про викуп під назвою «_r_e_a_d_m_e.txt» і змінює фон поточного робочого столу, щоб ще більше залякати жертву. Доданий рядок випадкових символів і двозначне число можуть відрізнятися залежно від конкретного варіанту програми-вимагача.

Дані, уражені програмою-вимагачем Rorschach, стають непридатними

Записка про викуп, залишена зловмисниками в зараженій системі, служить сповіщенням про те, що їхню систему зламано, дані зашифровано, а резервні копії видалено. У примітці також може бути зазначено, що зловмисники викрали конфіденційну інформацію.

У листі про викуп жертви зазвичай вказують не звертатися до поліції, ФБР чи інших органів влади, доки не буде сплачено викуп. Це також може перешкодити жертвам звертатися до компаній із відновлення даних, стверджуючи, що вони є посередниками, які стягуватимуть велику суму грошей, не надаючи жодної допомоги.

Записка про викуп також попереджає жертв не намагатися розшифрувати файли самостійно або змінити розширення файлів, оскільки це може зробити неможливим відновлення зашифрованих даних. Зловмисники надають жертвам дві адреси електронної пошти, щоб зв’язатися з ними та надіслати кілька файлів для тестового розшифрування — «wvpater@onionmail.org» і «wvpater1@onionmail.org».

Записка про викуп містить погрозу, що якщо викуп не буде сплачено, зловмисники здійснять нову атаку на систему жертви та видалять усі дані з її мереж.

Програма-вимагач Rorschach може заразити системи Windows і Linux

Програма-вимагач Rorschach — це складна загроза, яка автоматично поширюється під час запуску на контролері домену Windows (DC). Після запуску програма-вимагач створює групову політику, яка дозволяє їй поширюватися на інші машини в межах домену. Ця функція раніше була пов’язана з іншим типом програм-вимагачів, відомим як LockBit 2.0.

Програма-вимагач Rorschach є дуже гнучкою та має додаткові аргументи, які дозволяють їй адаптуватися до потреб оператора. Він також має унікальні функції, такі як використання прямих системних викликів за допомогою інструкції "syscall". Ці особливості дуже ускладнюють виявлення та захист від них.

Крім того, програмне забезпечення-вимагач має кілька вбудованих параметрів, які приховані та закриті, що робить їх доступними лише за допомогою зворотного проектування шкідливого програмного забезпечення. Це може бути призначено для зручності операторів.

Програмне забезпечення-вимагач Rorschach використовує гібридний криптографічний процес, який поєднує алгоритми curve25519 і eSTREAM cipher hc-128 для шифрування файлів жертви. На відміну від інших програм-вимагачів, воно шифрує лише певну частину вихідного вмісту файлу, а не весь файл. Це робить процес шифрування швидшим і ефективнішим.

Важливо зазначити, що програма-вимагач Rorschach націлена як на операційні системи Windows, так і на Linux. Варіанти Rorschach для Linux мають схожість із загрозою Babuk Ransomware.

Повний текст записки про викуп, надісланої Rorschach Ransomware:

'Ідентифікатор розшифровки:

Привіт! Оскільки ви читаєте це, це означає, що вас зламали.
Окрім шифрування всіх ваших систем, видалення резервних копій, ми також завантажили вашу конфіденційну інформацію.
Ось чого не слід робити:
1) Зв’яжіться з поліцією, ФБР чи іншими органами до завершення нашої угоди.
2) Зв'яжіться з компанією відновлення, щоб вони вели з нами діалог. (Це може сповільнити відновлення та звести нанівець наше спілкування). Не звертайтеся до реанімаційних компаній, вони, по суті, лише посередники, які зароблять на вас і обманюють вас. Нам добре відомі випадки, коли рекавертаційні компанії кажуть вам, що ціна викупу становить 5 мільйонів доларів, але насправді вони таємно домовляються з нас за 1 мільйон доларів, тож вони заробляють на вас 4 мільйони доларів. Якби ви звернулися до нас напряму без посередників, то заплатили б у 5 разів менше, тобто 1 мільйон доларів.
3) Не намагайтеся розшифрувати файли самостійно, а також не змінюйте розширення файлу самостійно !!! Це може призвести до неможливості їх розшифровки.

Ось що ви повинні зробити відразу після прочитання:
1) Якщо ви звичайний працівник, надішліть наше повідомлення генеральному директору компанії, а також у відділ ІТ.
2) Якщо ви генеральний директор, або фахівець у відділі ІТ, або інша особа, яка має вагу в компанії, ви повинні зв'язатися з нами протягом 24 годин електронною поштою.

Якщо ви не заплатите викуп, ми знову атакуємо вашу компанію в майбутньому. Через кілька тижнів ми просто повторимо нашу атаку та видалимо всі ваші дані з ваших мереж, ЩО ПРИЗВЕДЕ ДО ЇХ НЕДОСТУПНОСТІ!

Як гарантію того, що ми зможемо розшифрувати файли, ми пропонуємо вам надіслати кілька файлів для безкоштовного розшифрування.
Адреси електронної пошти, щоб зв’язатися з нами (напишіть ідентифікатор розшифровки в заголовку вашого повідомлення):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'