Το Rorschach Ransomware θα κλειδώσει τα αρχεία θυμάτων

Το Ransomware που ονομάζεται Rorschach ή BabLock χρησιμοποιείται από επιτιθέμενους στον κυβερνοχώρο για την κρυπτογράφηση αρχείων, ιδιαίτερα στοχεύοντας μικρές και μεσαίες επιχειρήσεις, καθώς και βιομηχανικές εταιρείες. Εκτός από την κρυπτογράφηση δεδομένων, αυτό το κακόβουλο λογισμικό προσθέτει επίσης μια τυχαία σειρά χαρακτήρων και έναν διψήφιο αριθμό στο τέλος των ονομάτων αρχείων. Για παράδειγμα, μετονομάζει το "1.jpg" σε "1.jpg.slpqne.37", "2.png" σε "2.png.slpqne.39" κ.λπ. Η συνημμένη συμβολοσειρά τυχαίων χαρακτήρων μπορεί να διαφέρει ανάλογα με τον παραλλαγή του ransomware.

Όταν το σύστημα παραβιάζεται, το Rorschach ransomware ρίχνει μια σημείωση λύτρων στην επιφάνεια εργασίας ("_r_e_a_d_m_e.txt") και αλλάζει την ταπετσαρία της επιφάνειας εργασίας. Το σημείωμα λύτρων υποδεικνύει ότι τα δεδομένα έχουν κρυπτογραφηθεί, τα αντίγραφα ασφαλείας έχουν αφαιρεθεί και οι εμπιστευτικές πληροφορίες έχουν ληφθεί από τους χάκερ. Συμβουλεύει επίσης τα θύματα να μην αναφέρουν την αστυνομία, το FBI ή άλλες αρχές μέχρι να πληρωθούν τα λύτρα.

Επιπλέον, το σημείωμα για τα λύτρα αποθαρρύνει τα θύματα να επικοινωνήσουν με εταιρείες ανάκτησης δεδομένων, καθώς θεωρούνται μεσάζοντες που θα τα εξαπατήσουν. Η σημείωση προειδοποιεί τα θύματα να μην προσπαθήσουν να αποκρυπτογραφήσουν αρχεία ή να αλλάξουν την επέκταση του αρχείου, καθώς θα οδηγήσει σε μόνιμη απώλεια δεδομένων. Το σημείωμα λύτρων παρέχει μια διεύθυνση email στα θύματα για να επικοινωνήσουν με τους φορείς απειλών και να στείλουν πολλά αρχεία για δοκιμαστική αποκρυπτογράφηση.

Το σημείωμα λύτρων τελειώνει με την απειλή ότι εάν δεν πληρωθούν τα λύτρα, οι κυβερνοεγκληματίες θα χτυπήσουν ξανά την εταιρεία και θα διαγράψουν όλα τα δεδομένα από τα δίκτυά τους.

Σημείωση Rorschach Ransom Υποδεικνύει τους χειριστές της που στοχεύουν εταιρείες

Το πλήρες κείμενο του σημειώματος για τα λύτρα Rorschach έχει ως εξής:

Αναγνωριστικό αποκρυπτογράφησης: -

Γεια, από τη στιγμή που διαβάζετε αυτό σημαίνει ότι έχετε χακάρει.
Εκτός από την κρυπτογράφηση όλων των συστημάτων σας, τη διαγραφή αντιγράφων ασφαλείας, κατεβάσαμε επίσης τις εμπιστευτικές σας πληροφορίες.
Να τι δεν πρέπει να κάνετε:
1) Επικοινωνήστε με την αστυνομία, το fbi ή άλλες αρχές πριν από τη λήξη της συμφωνίας μας.
2) Επικοινωνήστε με την εταιρεία ανάκτησης ώστε να κάνουν διάλογο μαζί μας. (Αυτό μπορεί να επιβραδύνει την ανάκαμψη και να ακυρώσει την επικοινωνία μας). Μην πηγαίνετε σε εταιρείες ανάκτησης, ουσιαστικά είναι απλώς μεσάζοντες που θα σας βγάλουν χρήματα και θα σας εξαπατήσουν. Γνωρίζουμε καλά περιπτώσεις όπου οι εταιρείες ανάκτησης σας λένε ότι η τιμή λύτρων είναι 5 εκατομμύρια δολάρια, αλλά στην πραγματικότητα διαπραγματεύονται κρυφά με εμάς για 1 εκατομμύριο δολάρια, άρα κερδίζουν 4 εκατομμύρια δολάρια από εσάς. Αν μας προσεγγίζατε απευθείας χωρίς μεσάζοντες θα πληρώνατε 5 φορές λιγότερα, δηλαδή 1 εκατομμύριο δολάρια.
3) Μην προσπαθήσετε να αποκρυπτογραφήσετε τα αρχεία μόνοι σας, καθώς και μην αλλάξετε μόνοι σας την επέκταση αρχείου !!! Αυτό μπορεί να οδηγήσει στην αδυναμία της αποκρυπτογράφησης τους.

Δείτε τι πρέπει να κάνετε αμέσως αφού το διαβάσετε:
1) Αν είστε απλός υπάλληλος, στείλτε το μήνυμά μας στον Διευθύνοντα Σύμβουλο της εταιρείας, καθώς και στο τμήμα Πληροφορικής.
2) Εάν είστε Διευθύνων Σύμβουλος, ή ειδικός στο τμήμα Πληροφορικής, ή άλλο άτομο που έχει βάρος στην εταιρεία, θα πρέπει να επικοινωνήσετε μαζί μας εντός 24 ωρών μέσω email.

Εάν δεν πληρώσετε τα λύτρα, θα επιτεθούμε ξανά στην εταιρεία σας στο μέλλον. Σε λίγες εβδομάδες, απλώς θα επαναλάβουμε την επίθεσή μας και θα διαγράψουμε όλα τα δεδομένα σας από τα δίκτυά σας, ΠΟΥ ΘΑ ΟΔΗΓΗΣΕΙ ΣΤΗ ΜΗ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΤΟΥΣ!

Ως εγγύηση ότι μπορούμε να αποκρυπτογραφήσουμε τα αρχεία, σας προτείνουμε να στείλετε πολλά αρχεία για δωρεάν αποκρυπτογράφηση.
Email για επικοινωνία μαζί μας (Γράψτε το αναγνωριστικό αποκρυπτογράφησης στον τίτλο του μηνύματός σας):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org

Πώς διανέμεται συνήθως το Ransomware όπως το Rorschach;

Το Ransomware όπως το Rorschach διανέμεται συνήθως μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος, κακόβουλων συνημμένων ή συνδέσμων σε μολυσμένους ιστότοπους. Οι εισβολείς ενδέχεται να χρησιμοποιήσουν τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τα θύματα να κατεβάσουν και να εκτελέσουν το κακόβουλο λογισμικό, όπως να συγκαλύψουν το ransomware ως νόμιμη ενημέρωση λογισμικού ή να προσφέρουν ένα δελεαστικό κίνητρο με αντάλλαγμα το κλικ σε έναν σύνδεσμο.

Σε ορισμένες περιπτώσεις, οι εισβολείς ενδέχεται επίσης να εκμεταλλευτούν ευπάθειες σε απαρχαιωμένο λογισμικό για να αποκτήσουν πρόσβαση στο σύστημα του θύματος και να εγκαταστήσουν το ransomware. Είναι σημαντικό να διατηρείτε το λειτουργικό σας σύστημα και όλο το λογισμικό ενημερωμένο, να χρησιμοποιείτε λογισμικό προστασίας από ιούς και να είστε προσεκτικοί με ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και ιστότοπους για να μειώσετε τον κίνδυνο μόλυνσης από ransomware.