Rorschach Ransomware vil låse offerfiler

Ransomware kalt Rorschach eller BabLock brukes av cyberangripere for å kryptere filer, spesielt rettet mot små og mellomstore bedrifter, så vel som industribedrifter. I tillegg til å kryptere data, legger denne skadevaren også til en tilfeldig streng med tegn og et tosifret tall på slutten av filnavn. Den gir for eksempel nytt navn til "1.jpg" til "1.jpg.slpqne.37", "2.png" til "2.png.slpqne.39", osv. Den vedlagte strengen med tilfeldige tegn kan variere avhengig av variant av løsepengevare.

Når systemet er hacket, slipper Rorschach-ransomware en løsepengenota på skrivebordet ("_r_e_a_d_m_e.txt") og endrer skrivebordsbakgrunnen. Løsepengene indikerer at data er kryptert, sikkerhetskopier er fjernet og konfidensiell informasjon er lastet ned av hackerne. Den råder også ofre til ikke å melde fra til politiet, FBI eller andre myndigheter før løsepengene er betalt.

Videre fraråder løsepengebrevet ofre fra å kontakte datagjenopprettingsselskaper, da de blir sett på som mellommenn som vil lure dem. Notatet advarer ofrene om ikke å prøve å dekryptere filer eller endre filtypen, da det vil føre til permanent tap av data. Løsepengene gir en e-postadresse for ofre for å kontakte trusselaktører og sende flere filer for testdekryptering.

Løsepengene ender med en trussel om at dersom løsepengene ikke betales, vil nettkriminelle slå selskapet igjen og slette all data fra nettverkene deres.

Rorschach løsepengenotat indikerer at operatørene er målrettet mot selskaper

Den fullstendige teksten til Rorschach løsepengenotat lyder som følger:

Dekrypterings-ID: -

Hei, siden du leser dette betyr det at du har blitt hacket.
I tillegg til å kryptere alle systemene dine, slette sikkerhetskopier, lastet vi også ned den konfidensielle informasjonen din.
Her er hva du ikke bør gjøre:
1) Kontakt politiet, fbi eller andre myndigheter før avtalen utløper.
2) Ta kontakt med bergingsselskapet slik at de ville føre dialoger med oss. (Dette kan bremse utvinningen, og gjøre kommunikasjonen vår til intet). Ikke gå til gjenvinningsselskaper, de er i hovedsak bare mellommenn som vil tjene penger på deg og jukse deg. Vi er godt klar over tilfeller der gjenvinningsselskaper forteller deg at løsepengeprisen er 5 millioner dollar, men faktisk forhandler de i hemmelighet med oss for 1 million dollar, så de tjener 4 millioner dollar på deg. Hvis du henvendte deg direkte til oss uten mellommenn, ville du betale 5 ganger mindre, det vil si 1 million dollar.
3) Ikke prøv å dekryptere filene selv, samt ikke endre filtypen selv !!! Dette kan føre til umuligheten av deres dekryptering.

Her er hva du bør gjøre rett etter å ha lest den:
1) Hvis du er en ordinær ansatt, send vår melding til administrerende direktør i selskapet, samt til IT-avdelingen.
2) Hvis du er administrerende direktør, eller spesialist i IT-avdelingen, eller en annen person som har tyngde i selskapet, bør du kontakte oss innen 24 timer på e-post.

Hvis du ikke betaler løsepengene, vil vi angripe bedriften din igjen i fremtiden. Om noen uker vil vi ganske enkelt gjenta angrepet vårt og slette alle dataene dine fra nettverkene dine, SOM VIL FØRE TIL UTILGJENGELIGHETEN!

Som en garanti for at vi kan dekryptere filene, foreslår vi at du sender flere filer for gratis dekryptering.
E-post for å kontakte oss (Skriv dekrypterings-ID-en i tittelen på meldingen):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org

Hvordan distribueres ransomware som Rorschach vanligvis?

Ransomware som Rorschach distribueres vanligvis gjennom phishing-e-poster, ondsinnede vedlegg eller lenker til infiserte nettsteder. Angriperne kan bruke sosial ingeniør-taktikk for å lure ofre til å laste ned og utføre skadelig programvare, for eksempel å skjule løsepengevaren som en legitim programvareoppdatering eller tilby et fristende insentiv i bytte for å klikke på en lenke.

I noen tilfeller kan angriperne også utnytte sårbarheter i utdatert programvare for å få tilgang til et offers system og installere løsepengevaren. Det er viktig å holde operativsystemet og all programvare oppdatert, bruke antivirusprogramvare og være forsiktig med mistenkelige e-poster og nettsteder for å redusere risikoen for ransomware-infeksjon.