Rorschach Ransomware vil låse offerfiler

Ransomware kaldet Rorschach eller BabLock bruges af cyberangribere til at kryptere filer, især rettet mod små og mellemstore virksomheder, såvel som industrivirksomheder. Ud over at kryptere data tilføjer denne malware også en tilfældig streng af tegn og et tocifret tal til slutningen af filnavne. For eksempel omdøber den "1.jpg" til "1.jpg.slpqne.37", "2.png" til "2.png.slpqne.39" osv. Den vedhæftede streng af tilfældige tegn kan variere afhængigt af variant af ransomware.

Når systemet hackes, slipper Rorschach-ransomwaren en løsesumseddel på skrivebordet ("_r_e_a_d_m_e.txt") og ændrer skrivebordets tapet. Løsesedlen indikerer, at data er blevet krypteret, sikkerhedskopier er blevet fjernet, og fortrolige oplysninger er blevet downloadet af hackerne. Det råder også ofre til ikke at melde sig til politiet, FBI eller andre myndigheder, før løsesummen er betalt.

Desuden afskrækker løsesumsedlen ofre fra at kontakte datagendannelsesfirmaer, da de betragtes som mellemmænd, der vil bedrage dem. Noten advarer ofrene om ikke at prøve at dekryptere filer eller ændre filtypenavnet, da det vil føre til permanent datatab. Løsesedlen giver en e-mail-adresse, hvor ofrene kan kontakte trusselsaktører og sende flere filer til testdekryptering.

Løsesedlen ender med en trussel om, at hvis løsesummen ikke betales, vil de cyberkriminelle slå virksomheden igen og slette al data fra deres netværk.

Rorschach Ransom Note angiver, at dens operatører er målrettet mod virksomheder

Den fulde tekst af Rorschachs løsesumseddel lyder som følger:

Dekrypterings-id: -

Hej, siden du læser dette betyder det, at du er blevet hacket.
Udover at kryptere alle dine systemer, slette sikkerhedskopier, downloadede vi også dine fortrolige oplysninger.
Her er, hvad du ikke bør gøre:
1) Kontakt politiet, fbi eller andre myndigheder inden udløbet af vores aftale.
2) Kontakt inddrivelsesfirmaet, så de ville føre dialoger med os. (Dette kan bremse opsvinget og gøre vores kommunikation til intet). Gå ikke til inddrivelsesfirmaer, de er i bund og grund kun mellemmænd, der vil tjene penge på dig og snyde dig. Vi kender godt til tilfælde, hvor genopretningsvirksomheder fortæller dig, at løsesummen er 5 millioner dollars, men faktisk forhandler de i al hemmelighed med os for 1 million dollars, så de tjener 4 millioner dollars på dig. Hvis du kontaktede os direkte uden mellemmænd, ville du betale 5 gange mindre, det vil sige 1 million dollars.
3) Forsøg ikke selv at dekryptere filerne, samt skift ikke selv filtypenavnet !!! Dette kan føre til umuligheden af deres dekryptering.

Her er, hvad du skal gøre lige efter at have læst det:
1) Er du ordinær medarbejder, så send vores besked til den administrerende direktør i virksomheden, samt til IT-afdelingen.
2) Hvis du er administrerende direktør, eller specialist i IT-afdelingen, eller en anden person, der har vægt i virksomheden, skal du kontakte os inden for 24 timer på mail.

Hvis du ikke betaler løsesummen, vil vi angribe din virksomhed igen i fremtiden. Om et par uger vil vi blot gentage vores angreb og slette alle dine data fra dine netværk, SOM VIL FØRE TIL DERES UTILGÆNGELIGHED!

Som en garanti for, at vi kan dekryptere filerne, foreslår vi, at du sender flere filer til gratis dekryptering.
Mails til at kontakte os (Skriv dekrypterings-id'et i titlen på din besked):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org

Hvordan distribueres ransomware som Rorschach normalt?

Ransomware som Rorschach distribueres typisk gennem phishing-e-mails, ondsindede vedhæftede filer eller links til inficerede websteder. Angriberne kan bruge social engineering-taktikker til at narre ofrene til at downloade og udføre malwaren, såsom at skjule ransomwaren som en legitim softwareopdatering eller tilbyde et fristende incitament i bytte for at klikke på et link.

I nogle tilfælde kan angriberne også udnytte sårbarheder i forældet software til at få adgang til et offers system og installere ransomware. Det er vigtigt at holde dit operativsystem og al software opdateret, bruge antivirussoftware og være forsigtig med mistænkelige e-mails og websteder for at reducere risikoen for ransomware-infektion.