Rorschach Ransomware

名為 Rorschach 或 BabLock 的勒索軟件旨在加密文件並針對中小型企業以及工業組織。當 Rorschach 感染系統時，它不僅會加密數據，還會在文件名末尾添加一個隨機字符串，後跟一個兩位數。此修改的目的是讓受害者更難注意到他們的數據已被鎖定。

Rorschach 還投放了一個名為“_r_e_a_d_m_e.txt”的贖金票據文件，並更改了當前的桌面背景以進一步恐嚇受害者。附加的隨機字符串和兩位數可能因勒索軟件的特定變體而異。

受 Rorschach 勒索軟件影響的數據變得無法使用

攻擊者在受感染系統上留下的勒索字條用作通知，表明他們的系統已受到威脅，他們的數據已被加密，並且他們的備份已被刪除。該說明還可能提到機密信息已被攻擊者竊取。

贖金票據通常指示受害者在支付贖金之前不要聯繫警察、聯邦調查局或其他當局。這也可能會阻止受害者聯繫數據恢復公司，聲稱他們是中介，會在不提供任何幫助的情況下收取大量費用。

勒索信還警告受害者不要嘗試自己解密文件或修改文件擴展名，因為這可能導致無法恢復加密數據。攻擊者提供了兩個電子郵件地址供受害者聯繫，並發送一些文件用於測試解密 - “wvpater@onionmail.org”和“wvpater1@onionmail.org”。

贖金票據包含威脅，如果不支付贖金，攻擊者將對受害者的系統發起另一次攻擊，並從其網絡中刪除所有數據。

Rorschach 勒索軟件可以感染 Windows 和 Linux 系統

Rorschach Ransomware 是一種複雜的威脅，旨在在 Windows 域控制器 (DC) 上執行時自動傳播。一旦執行，勒索軟件就會創建一個組策略，允許它傳播到域內的其他機器。此功能以前曾與另一種稱為 LockBit 2.0 的勒索軟件相關聯。

Rorschach Ransomware 非常靈活，並具有可選參數，使其能夠適應操作員的需求。它還具有獨特的功能，例如使用“syscall”指令進行直接系統調用。這些特性使得檢測和防禦變得非常困難。

此外，勒索軟件有幾個隱藏和模糊的內置選項，使它們只能通過對惡意軟件進行逆向工程才能訪問。這可能是為了方便操作員。

Rorschach Ransomware 使用混合加密過程，結合了 curve25519 和 eSTREAM 密碼 hc-128 算法來加密受害者的文件。與其他勒索軟件不同，它只加密原始文件內容的某一部分，而不是整個文件。這使得加密過程更快、更高效。

請務必注意，Rorschach 勒索軟件同時針對 Windows 和 Linux 操作系統。 Rorschach 的 Linux 變體與 Babuk 勒索軟件威脅有相似之處。

Rorschach Ransomware 提供的贖金票據全文為：

'解密ID：

你好，既然你正在閱讀這篇文章，那就意味著你被黑了。
除了加密您的所有系統、刪除備份外，我們還下載了您的機密信息。
以下是您不應該做的事情：
1) 在我們的交易結束前聯繫警察、聯邦調查局或其他當局。
2) 聯繫回收公司，讓他們與我們進行對話。 （這會減慢恢復速度，並使我們的溝通化為泡影）。不要去找回收公司，他們本質上只是中間人，他們會從你身上賺錢並欺騙你。我們很清楚回收公司告訴你贖金價格是 500 萬美元的案例，但實際上他們在暗中與你談判我們 100 萬美元，所以他們從你那裡賺了 400 萬美元。如果您在沒有中介的情況下直接與我們聯繫，您將少支付 5 倍，即 100 萬美元。
3）不要嘗試自己解密文件，也不要自己更改文件擴展名！！！這可能導致無法解密。

以下是您在閱讀後應該立即做的事情：
1) 如果您是普通員工，請將我們的消息發送給公司的 CEO，以及 IT 部門。
2) 如果您是CEO，或IT部門的專家，或其他在公司有影響力的人，您應該在24小時內通過電子郵件與我們聯繫。

如果你不支付贖金，我們將在未來再次攻擊你的公司。在幾週內，我們將簡單地重複我們的攻擊並從你的網絡中刪除你的所有數據，這將導致他們無法使用！

為了保證我們可以解密文件，我們建議您發送多個文件進行免費解密。
聯繫我們的郵件（在您的郵件標題中寫下解密ID）：
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'