A Rorschach Ransomware zárolja az áldozatfájlokat

A Rorschach vagy BabLock nevű zsarolóvírust a kibertámadók fájlok titkosítására használják, különösen a kis- és középvállalkozásokat, valamint az ipari vállalatokat célozzák meg. Az adatok titkosítása mellett ez a kártevő véletlenszerű karaktersorozatot és egy kétjegyű számot is fűz a fájlnevek végéhez. Például átnevezi az "1.jpg"-t "1.jpg.slpqne.37"-re, a "2.png"-t "2.png.slpqne.39"-re stb. A véletlenszerű karakterek hozzáfűzött karakterlánca a ransomware változata.

Amikor a rendszert feltörik, a Rorschach ransomware váltságdíj-jegyzetet dob az asztalra ("_r_e_a_d_m_e.txt"), és megváltoztatja az asztal háttérképét. A váltságdíj feljegyzése szerint az adatokat titkosították, a biztonsági másolatokat eltávolították, és a hackerek bizalmas információkat töltöttek le. Azt is tanácsolja az áldozatoknak, hogy a váltságdíj kifizetéséig ne jelentkezzenek a rendőrségen, az FBI-nál vagy más hatóságoknál.

Ezenkívül a váltságdíj visszatartja az áldozatokat attól, hogy adat-visszaállító cégekkel lépjenek kapcsolatba, mivel közvetítőknek tekintik őket, akik megtévesztik őket. A megjegyzés figyelmezteti az áldozatokat, hogy ne próbálják meg a fájlok visszafejtését vagy a fájl kiterjesztésének megváltoztatását, mivel ez végleges adatvesztéshez vezet. A váltságdíjról szóló feljegyzés egy e-mail címet biztosít az áldozatok számára, amelyeken keresztül kapcsolatba léphetnek a fenyegetés szereplőivel, és több fájlt küldhetnek tesztfejtés céljából.

A váltságdíjról szóló feljegyzés azzal a fenyegetéssel zárul, hogy ha nem fizetik ki a váltságdíjat, a kiberbűnözők ismét lecsapnak a cégre, és minden adatot törölnek hálózataikról.

A Rorschach Ransom Note üzemeltetőit jelzi a célvállalatokra

A Rorschach váltságdíjról szóló feljegyzés teljes szövege a következő:

Dekódolási azonosító: -

Szia! Mivel ezt olvasod, ez azt jelenti, hogy feltörték.
Az összes rendszer titkosítása és a biztonsági másolatok törlése mellett az Ön bizalmas adatait is letöltöttük.
Íme, mit ne tegye:
1) Lépjen kapcsolatba a rendőrséggel, az FBI-val vagy más hatóságokkal az üzletünk lejárta előtt.
2) Vegye fel a kapcsolatot a helyreállítási céggel, hogy párbeszédet folytathassanak velünk. (Ez lelassíthatja a felépülést, és semmivé teheti kommunikációnkat). Ne menjen beszállító cégekhez, ők lényegében csak közvetítők, akik pénzt keresnek, és megcsalnak. Jól ismerjük azokat az eseteket, amikor a beszállító cégek azt mondják, hogy a váltságdíj 5 millió dollár, de valójában titokban tárgyalnak nekünk 1 millió dollárért, tehát 4 millió dollárt keresnek tőled. Ha közvetlenül, közvetítők nélkül fordulna hozzánk, ötször kevesebbet, azaz 1 millió dollárt fizetne.
3) Ne próbálja meg saját maga visszafejteni a fájlokat, és ne változtassa meg a fájl kiterjesztését! Ez a visszafejtés ellehetetlenüléséhez vezethet.

Íme, mit kell tennie közvetlenül az olvasás után:
1) Ha Ön hétköznapi alkalmazott, küldje el üzenetünket a cég vezérigazgatójának, valamint az informatikai osztálynak.
2) Ha Ön vezérigazgató, vagy az informatikai részleg szakembere, vagy más személy, akinek súlya van a vállalatnál, 24 órán belül vegye fel velünk a kapcsolatot e-mailben.

Ha nem fizeti ki a váltságdíjat, a jövőben ismét megtámadjuk a cégét. Néhány héten belül egyszerűen megismételjük támadásunkat, és töröljük az összes adatát a hálózatairól, EZ AZOK KIÉRHETETLENSÉGÉHEZ VESZIK!

A fájlok visszafejtésének garanciájaként javasoljuk, hogy küldjön több fájlt ingyenes visszafejtésre.
E-mailek a kapcsolatfelvételhez (írja a visszafejtési azonosítót az üzenet címébe):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org

Általában hogyan terjesztik a Rorschachhoz hasonló Ransomware-t?

Az olyan zsarolóprogramokat, mint a Rorschach, általában adathalász e-maileken, rosszindulatú mellékleteken vagy fertőzött webhelyekre mutató hivatkozásokon keresztül terjesztik. A támadók social engineering taktikákat alkalmazhatnak, hogy rávegyék az áldozatokat a rosszindulatú program letöltésére és végrehajtására, például a zsarolóprogramot legitim szoftverfrissítésnek álcázzák, vagy csábító ösztönzést kínálhatnak a hivatkozásra való kattintásért cserébe.

Egyes esetekben a támadók az elavult szoftverek sebezhetőségeit is kihasználhatják, hogy hozzáférjenek az áldozat rendszeréhez, és telepítsék a zsarolóprogramot. Fontos, hogy az operációs rendszert és az összes szoftvert naprakészen tartsa, használjon vírusirtó szoftvert, és legyen óvatos a gyanús e-mailekkel és webhelyekkel, hogy csökkentse a zsarolóprogram-fertőzés kockázatát.