„Rorschach Ransomware“ užrakins aukos failus

Išpirkos reikalaujančią programinę įrangą, vadinamą Rorschach arba BabLock, kibernetiniai užpuolikai naudoja failams užšifruoti, ypač taikydami mažas ir vidutines įmones, taip pat pramonės įmones. Be duomenų šifravimo, ši kenkėjiška programa failų pavadinimų pabaigoje taip pat prideda atsitiktinę simbolių eilutę ir dviženklį skaičių. Pavyzdžiui, jis pervadina "1.jpg" į "1.jpg.slpqne.37", "2.png" į "2.png.slpqne.39" ir tt Pridedama atsitiktinių simbolių eilutė gali skirtis priklausomai nuo išpirkos reikalaujančios programos variantas.

Įsilaužus į sistemą, „Rorschach“ išpirkos reikalaujanti programa ant darbalaukio numeta išpirkos raštelį („_r_e_a_d_m_e.txt“) ir pakeičia darbalaukio foną. Išpirkos rašte nurodoma, kad įsilaužėliai buvo užšifruoti, atsarginės kopijos pašalintos ir konfidenciali informacija atsisiunčiama. Taip pat aukoms patariama nepranešti policijai, FTB ar kitoms institucijoms, kol nebus sumokėta išpirka.

Be to, išpirkos raštelis atgraso aukas susisiekti su duomenų atkūrimo įmonėmis, nes jos laikomos tarpininkais, kurie jas apgaus. Pastaba įspėja aukas nebandyti iššifruoti failų ar nekeisti failo plėtinio, nes tai sukels nuolatinį duomenų praradimą. Išpirkos rašte pateikiamas el. pašto adresas aukoms susisiekti su grėsmės veikėjais ir išsiųsti kelis failus bandomajam iššifravimui.

Išpirkos raštelis baigiasi grasinimu, kad nesumokėjus išpirkos, kibernetiniai nusikaltėliai vėl smogs įmonei ir ištrins visus duomenis iš savo tinklų.

„Rorschach Ransom Note“ nurodo jo operatorius, kurių tikslinės įmonės

Visas Rorschacho išpirkos rašto tekstas skamba taip:

Iššifravimo ID: -

Sveiki, kadangi jūs tai skaitote, tai reiškia, kad į jus buvo įsilaužta.
Be visų jūsų sistemų šifravimo, atsarginių kopijų ištrynimo, taip pat atsisiuntėme jūsų konfidencialią informaciją.
Štai ko neturėtumėte daryti:
1) Susisiekite su policija, FBI ar kitomis institucijomis prieš pasibaigiant mūsų sandoriui.
2) Susisiekite su išieškojimo įmone, kad ji pradėtų dialogą su mumis. (Tai gali sulėtinti atsigavimą ir padaryti mūsų bendravimą niekais). Nesikreipkite į susigrąžinimo įmones, jos iš esmės yra tik tarpininkai, kurie iš jūsų uždirbs pinigų ir jus apgaudinės. Mes puikiai žinome atvejus, kai išieškojimo įmonės jums sako, kad išpirkos kaina yra 5 milijonai dolerių, tačiau iš tikrųjų jos slapta derasi su mums už 1 milijoną dolerių, taigi jie iš jūsų uždirba 4 milijonus dolerių. Jei kreiptumėtės į mus tiesiogiai be tarpininkų, sumokėtumėte 5 kartus mažiau, tai yra 1 milijonas dolerių.
3) Nebandykite patys iššifruoti failų, taip pat patys nekeiskite failo plėtinio !!! Dėl to jų iššifravimas gali būti neįmanomas.

Štai ką turėtumėte padaryti iškart perskaitę:
1) Jei esate paprastas darbuotojas, siųskite mūsų žinutę įmonės generaliniam direktoriui, taip pat IT skyriui.
2) Jei esate generalinis direktorius, IT skyriaus specialistas ar kitas asmuo, turintis svorio įmonėje, per 24 valandas turėtumėte susisiekti su mumis el.

Jei nesumokėsite išpirkos, ateityje vėl atakuosime jūsų įmonę. Po kelių savaičių mes tiesiog pakartosime savo puolimą ir ištrinsime visus jūsų duomenis iš jūsų tinklų, TO DĖL JŲ NEPASIEKIAME!

Norėdami garantuoti, kad galime iššifruoti failus, siūlome nemokamai iššifruoti kelis failus.
Laiškai susisiekti su mumis (pranešimo pavadinime įrašykite iššifravimo ID):
1) wvpater@onionmail.org
2) wvpater1@onionmail.org

Kaip paprastai platinamas „Ransomware“, kaip „Rorschach“?

Išpirkos reikalaujančios programos, tokios kaip Rorschach, paprastai platinamos naudojant sukčiavimo el. laiškus, kenkėjiškus priedus arba nuorodas į užkrėstas svetaines. Užpuolikai gali naudoti socialinės inžinerijos taktiką, norėdami apgauti aukas, kad jos atsisiųstų ir paleistų kenkėjišką programą, pavyzdžiui, užmaskuoti išpirkos reikalaujančią programinę įrangą kaip teisėtą programinės įrangos naujinį arba siūlyti viliojančią paskatą mainais už nuorodos spustelėjimą.

Kai kuriais atvejais užpuolikai taip pat gali išnaudoti pasenusios programinės įrangos spragas, kad pasiektų aukos sistemą ir įdiegtų išpirkos reikalaujančią programinę įrangą. Svarbu nuolat atnaujinti operacinę sistemą ir visą programinę įrangą, naudoti antivirusinę programinę įrangą ir būti atsargiems dėl įtartinų el. laiškų ir svetainių, kad sumažintumėte išpirkos reikalaujančių programų užkrėtimo riziką.