Rorschach Ransomware

名为 Rorschach 或 BabLock 的勒索软件旨在加密文件并针对中小型企业以及工业组织。当 Rorschach 感染系统时，它不仅会加密数据，还会在文件名末尾添加一个随机字符串，后跟一个两位数。此修改的目的是让受害者更难注意到他们的数据已被锁定。

Rorschach 还投放了一个名为“_r_e_a_d_m_e.txt”的赎金票据文件，并更改了当前的桌面背景以进一步恐吓受害者。附加的随机字符串和两位数可能因勒索软件的特定变体而异。

受 Rorschach 勒索软件影响的数据变得无法使用

攻击者在受感染系统上留下的勒索字条用作通知，表明他们的系统已受到威胁，他们的数据已被加密，并且他们的备份已被删除。该说明还可能提到机密信息已被攻击者窃取。

赎金票据通常指示受害者在支付赎金之前不要联系警察、联邦调查局或其他当局。这也可能会阻止受害者联系数据恢复公司，声称他们是中介，会在不提供任何帮助的情况下收取大量费用。

勒索信还警告受害者不要尝试自己解密文件或修改文件扩展名，因为这可能导致无法恢复加密数据。攻击者提供了两个电子邮件地址供受害者联系，并发送一些文件用于测试解密 - “wvpater@onionmail.org”和“wvpater1@onionmail.org”。

赎金票据包含威胁，如果不支付赎金，攻击者将对受害者的系统发起另一次攻击，并从其网络中删除所有数据。

Rorschach 勒索软件可以感染 Windows 和 Linux 系统

Rorschach Ransomware 是一种复杂的威胁，旨在在 Windows 域控制器 (DC) 上执行时自动传播。一旦执行，勒索软件就会创建一个组策略，允许它传播到域内的其他机器。此功能以前曾与另一种称为 LockBit 2.0 的勒索软件相关联。

Rorschach Ransomware 非常灵活，并具有可选参数，使其能够适应操作员的需求。它还具有独特的功能，例如使用“syscall”指令进行直接系统调用。这些特性使得检测和防御变得非常困难。

此外，勒索软件还有几个隐藏和模糊的内置选项，使它们只能通过对恶意软件进行逆向工程才能访问。这可能是为了方便操作员。

Rorschach Ransomware 使用混合加密过程，结合了 curve25519 和 eSTREAM 密码 hc-128 算法来加密受害者的文件。与其他勒索软件不同，它只加密原始文件内容的某一部分，而不是整个文件。这使得加密过程更快、更高效。

请务必注意，Rorschach 勒索软件同时针对 Windows 和 Linux 操作系统。 Rorschach 的 Linux 变体与 Babuk 勒索软件威胁有相似之处。

Rorschach Ransomware 提供的赎金票据全文为：

'解密ID：

你好，既然你正在阅读这篇文章，那就意味着你被黑了。
除了加密您的所有系统、删除备份外，我们还下载了您的机密信息。
以下是您不应该做的事情：
1) 在我们的交易结束前联系警察、联邦调查局或其他当局。
2) 联系回收公司，让他们与我们进行对话。 （这会减慢恢复速度，并使我们的沟通化为泡影）。不要去找回收公司，他们本质上只是中间人，他们会从你身上赚钱并欺骗你。我们很清楚回收公司告诉你赎金价格是 500 万美元，但实际上他们暗中与你谈判的案例我们 100 万美元，所以他们从你那里赚了 400 万美元。如果您在没有中介的情况下直接与我们联系，您将少支付 5 倍，即 100 万美元。
3）不要尝试自己解密文件，也不要自己更改文件扩展名！！！这可能导致无法解密。

以下是您在阅读后应该立即做的事情：
1) 如果您是普通员工，请将我们的消息发送给公司的 CEO，以及 IT 部门。
2) 如果您是CEO，或IT部门的专家，或其他在公司有影响力的人，您应该在24小时内通过电子邮件与我们联系。

如果你不支付赎金，我们将在未来再次攻击你的公司。在几周内，我们将简单地重复攻击并从你的网络中删除你的所有数据，这将导致他们无法使用！

为了保证我们可以解密文件，我们建议您发送多个文件进行免费解密。
联系我们的邮件（在您的邮件标题中写下解密ID）：
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'