Rorschach Ransomware

Phần mềm tống tiền được gọi là Rorschach hoặc BabLock, được thiết kế để mã hóa các tệp và nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ, cũng như các tổ chức công nghiệp. Khi Rorschach lây nhiễm vào một hệ thống, nó không chỉ mã hóa dữ liệu mà còn thêm một chuỗi ký tự ngẫu nhiên theo sau là một số có hai chữ số ở cuối tên tệp. Mục đích của sửa đổi này là làm cho nạn nhân khó nhận thấy rằng dữ liệu của họ đã bị khóa.

Rorschach cũng thả một tệp ghi chú đòi tiền chuộc có tên '_r_e_a_d_m_e.txt' và thay đổi nền màn hình hiện tại để đe dọa nạn nhân hơn nữa. Chuỗi ký tự ngẫu nhiên được nối thêm và số có hai chữ số có thể khác nhau tùy thuộc vào biến thể cụ thể của phần mềm tống tiền.

Dữ liệu bị ảnh hưởng bởi phần mềm tống tiền Rorschach trở nên không sử dụng được

Thông báo đòi tiền chuộc mà những kẻ tấn công để lại trên hệ thống bị lây nhiễm đóng vai trò như một thông báo rằng hệ thống của chúng đã bị xâm phạm, dữ liệu của chúng đã bị mã hóa và các bản sao lưu của chúng đã bị xóa. Ghi chú cũng có thể đề cập rằng thông tin bí mật đã bị đánh cắp bởi những kẻ tấn công.

Thông báo đòi tiền chuộc thường hướng dẫn nạn nhân không liên hệ với cảnh sát, FBI hoặc các cơ quan chức năng khác cho đến khi khoản thanh toán tiền chuộc được thực hiện. Nó cũng có thể không khuyến khích nạn nhân liên hệ với các công ty khôi phục dữ liệu, cho rằng họ là những người trung gian sẽ tính một số tiền lớn mà không cung cấp bất kỳ sự trợ giúp nào.

Lưu ý về tiền chuộc cũng cảnh báo nạn nhân không cố gắng tự giải mã các tệp hoặc sửa đổi phần mở rộng của tệp, vì điều này có thể khiến dữ liệu được mã hóa không thể khôi phục được. Những kẻ tấn công cung cấp hai địa chỉ email để nạn nhân liên hệ với chúng và gửi một vài tệp để giải mã thử nghiệm - 'wvpater@onionmail.org' và 'wvpater1@onionmail.org.'

Thông báo đòi tiền chuộc có chứa mối đe dọa rằng nếu khoản thanh toán tiền chuộc không được thực hiện, những kẻ tấn công sẽ thực hiện một cuộc tấn công khác nhằm vào hệ thống của nạn nhân và xóa tất cả dữ liệu khỏi mạng của họ.

Ransomware Rorschach có thể lây nhiễm hệ thống Windows và Linux

Rorschach Ransomware là một mối đe dọa tinh vi được thiết kế để tự động lây lan khi được thực thi trên Windows Domain Controller (DC). Sau khi được thực thi, phần mềm tống tiền sẽ tạo Chính sách nhóm, cho phép nó lây lan sang các máy khác trong miền. Tính năng này trước đây đã được liên kết với một loại ransomware khác được gọi là LockBit 2.0.

Rorschach Ransomware rất linh hoạt và có các đối số tùy chọn cho phép nó thích ứng với nhu cầu của người điều hành. Nó cũng có các chức năng độc đáo, chẳng hạn như sử dụng các cuộc gọi hệ thống trực tiếp bằng cách sử dụng lệnh "syscall". Những tính năng này làm cho nó rất khó phát hiện và chống lại.

Ngoài ra, phần mềm tống tiền này có một số tùy chọn tích hợp được che giấu và che khuất, khiến chúng chỉ có thể truy cập được thông qua kỹ thuật đảo ngược phần mềm độc hại. Điều này có thể nhằm mục đích thuận tiện cho người vận hành.

Phần mềm tống tiền Rorschach sử dụng quy trình mã hóa lai kết hợp các thuật toán mã hóa đường cong25519 và eSTREAM hc-128 để mã hóa các tệp của nạn nhân. Không giống như các phần mềm tống tiền khác, nó chỉ mã hóa một phần nhất định của nội dung tệp gốc chứ không phải toàn bộ tệp. Điều này làm cho quá trình mã hóa nhanh hơn và hiệu quả hơn.

Điều quan trọng cần lưu ý là Rorschach Ransomware nhắm vào cả hệ điều hành Windows và Linux. Các biến thể Linux của Rorschach có những điểm tương đồng với mối đe dọa Babuk Ransomware.

Toàn văn của thông báo đòi tiền chuộc do Rorschach Ransomware gửi là:

'ID giải mã:

Xin chào, vì bạn đang đọc điều này có nghĩa là bạn đã bị hack.
Ngoài việc mã hóa tất cả các hệ thống của bạn, xóa các bản sao lưu, chúng tôi cũng đã tải xuống thông tin bí mật của bạn.
Đây là những gì bạn không nên làm:
1) Liên hệ với cảnh sát, fbi hoặc các cơ quan chức năng khác trước khi kết thúc thỏa thuận của chúng tôi.
2) Liên hệ với công ty phục hồi để họ tiến hành đối thoại với chúng tôi. (Điều này có thể làm chậm quá trình phục hồi và khiến việc liên lạc của chúng ta trở nên vô ích). Đừng tìm đến các công ty phục hồi, họ thực chất chỉ là những người trung gian sẽ kiếm tiền từ bạn và lừa đảo bạn. Chúng tôi biết rõ các trường hợp các công ty phục hồi nói với bạn rằng giá chuộc là 5 triệu đô la, nhưng thực tế là họ bí mật thương lượng với bạn chúng tôi với giá 1 triệu đô la, vì vậy họ kiếm được 4 triệu đô la từ bạn. Nếu bạn tiếp cận trực tiếp với chúng tôi mà không qua trung gian, bạn sẽ trả ít hơn 5 lần, tức là 1 triệu đô la.
3) Đừng cố tự giải mã các tệp cũng như không tự thay đổi phần mở rộng của tệp !!! Điều này có thể dẫn đến việc không thể giải mã chúng.

Đây là những gì bạn nên làm ngay sau khi đọc nó:
1) Nếu bạn là một nhân viên bình thường, hãy gửi tin nhắn của chúng tôi tới Giám đốc điều hành của công ty, cũng như bộ phận CNTT.
2) Nếu bạn là Giám đốc điều hành, chuyên gia trong bộ phận CNTT hoặc người khác có quyền lực trong công ty, bạn nên liên hệ với chúng tôi trong vòng 24 giờ qua email.

Nếu bạn không trả tiền chuộc, chúng tôi sẽ tấn công công ty của bạn một lần nữa trong tương lai. Trong một vài tuần, chúng tôi sẽ lặp lại cuộc tấn công của mình và xóa tất cả dữ liệu của bạn khỏi mạng của bạn, ĐIỀU ĐÓ SẼ DẪN ĐẾN VIỆC KHÔNG CÓ SẴN CỦA CHÚNG!

Để đảm bảo rằng chúng tôi có thể giải mã các tệp, chúng tôi khuyên bạn nên gửi một số tệp để được giải mã miễn phí.
Thư để liên hệ với chúng tôi (Viết ID giải mã trong tiêu đề thư của bạn):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'