ロールシャッハ ランサムウェアは被害者のファイルをロックします
Rorschach または BabLock と呼ばれるランサムウェアは、ファイルを暗号化するためにサイバー攻撃者によって利用され、特に中小企業や工業企業を標的にしています。このマルウェアは、データを暗号化するだけでなく、ランダムな文字列と 2 桁の数字をファイル名の末尾に追加します。たとえば、「1.jpg」を「1.jpg.slpqne.37」に、「2.png」を「2.png.slpqne.39」に、というように名前を変更します。追加されるランダムな文字列は、ランサムウェアの亜種。
システムがハッキングされると、Rorschach ランサムウェアはデスクトップに身代金メモ ("_r_e_a_d_m_e.txt") をドロップし、デスクトップの壁紙を変更します。身代金メモは、ハッカーによってデータが暗号化され、バックアップが削除され、機密情報がダウンロードされたことを示しています。また、身代金が支払われるまで、警察、FBI、またはその他の当局に報告しないよう被害者に助言しています。
さらに、身代金メモは、被害者がデータ復旧会社を欺く仲介者と見なされるため、被害者がデータ復旧会社に連絡することを思いとどまらせます。このメモは、被害者に、ファイルの復号化やファイル拡張子の変更を試みないように警告しています。身代金メモは、被害者が脅威アクターに連絡し、テスト用の復号化のためにいくつかのファイルを送信するための電子メール アドレスを提供します。
身代金メモは、身代金が支払われない場合、サイバー犯罪者が再び会社を攻撃し、ネットワークからすべてのデータを削除するという脅迫で締めくくられています。
ロールシャッハ身代金メモは、そのオペレーターが標的の企業を示していることを示しています
ロールシャッハの身代金メモの全文は次のとおりです。
復号化ID: -
こんにちは、これを読んでいるということは、ハッキングされたことを意味します。
すべてのシステムを暗号化し、バックアップを削除するだけでなく、機密情報もダウンロードしました。
してはいけないことは次のとおりです。
1) 取引が終了する前に、警察、fbi、またはその他の当局に連絡してください。
2) 回収業者に連絡を取り、当社との対話を行います。 (これにより回復が遅くなり、コミュニケーションが無駄になる可能性があります)。身代金は 500 万ドルだと言う回収会社の事例はよく知られていますが、実際には密かに交渉を行っています。私たちに 100 万ドルを支払うので、彼らはあなたから 400 万ドルを稼ぎます。仲介者なしで直接私たちにアプローチした場合、支払う金額は 5 分の 1、つまり 100 万ドルになります。
3) 自分でファイルを復号化したり、ファイル拡張子を自分で変更したりしないでください!!!これにより、復号化が不可能になる可能性があります。これを読んだ直後にすべきことは次のとおりです。
1) あなたが普通の従業員である場合は、会社の CEO と IT 部門にメッセージを送ってください。
2) あなたが CEO、IT 部門のスペシャリスト、または会社に影響力のある人物である場合は、24 時間以内に電子メールでご連絡ください。身代金を支払わない場合、私たちは将来あなたの会社を再び攻撃します.数週間以内に、私たちは攻撃を繰り返し、ネットワークからすべてのデータを削除します.
ファイルを復号化できることを保証するために、無料の復号化のために複数のファイルを送信することをお勧めします。
お問い合わせメール(メッセージの件名に復号化IDを記載してください):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org
ロールシャッハのようなランサムウェアは通常どのように配布されますか?
Rorschach のようなランサムウェアは、通常、フィッシング メール、悪意のある添付ファイル、または感染した Web サイトへのリンクを介して配布されます。攻撃者は、ランサムウェアを正規のソフトウェア アップデートに偽装したり、リンクをクリックする代わりに魅力的なインセンティブを提供したりするなど、ソーシャル エンジニアリング手法を使用して、被害者をだましてマルウェアをダウンロードおよび実行させることがあります。
場合によっては、攻撃者が古いソフトウェアの脆弱性を悪用して被害者のシステムにアクセスし、ランサムウェアをインストールすることもあります。オペレーティング システムとすべてのソフトウェアを最新の状態に保ち、ウイルス対策ソフトウェアを使用し、疑わしいメールや Web サイトに注意して、ランサムウェア感染のリスクを軽減することが重要です。