Программа-вымогатель Rorschach заблокирует файлы жертв

Программа-вымогатель под названием Rorschach или BabLock используется кибер-злоумышленниками для шифрования файлов, особенно нацеленных на малый и средний бизнес, а также на промышленные компании. Помимо шифрования данных, эта вредоносная программа также добавляет в конец имен файлов случайную строку символов и двузначное число. Например, он переименовывает «1.jpg» в «1.jpg.slpqne.37», «2.png» в «2.png.slpqne.39» и т. д. Добавляемая строка случайных символов может различаться в зависимости от вариант программы-вымогателя.

Когда система взломана, программа-вымогатель Роршаха оставляет на рабочем столе записку с требованием выкупа («_r_e_a_d_m_e.txt») и меняет обои рабочего стола. В примечании о выкупе указано, что данные были зашифрованы, резервные копии удалены, а конфиденциальная информация была загружена хакерами. Он также советует жертвам не обращаться в полицию, ФБР или другие органы, пока не будет выплачен выкуп.

Кроме того, записка о выкупе отговаривает жертв от обращения в компании по восстановлению данных, поскольку они рассматриваются как посредники, которые могут их обмануть. В примечании жертвам предлагается не пытаться расшифровать файлы или изменить расширение файла, поскольку это приведет к необратимой потере данных. В записке о выкупе указан адрес электронной почты, по которому жертвы могут связаться с злоумышленниками и отправить несколько файлов для тестовой расшифровки.

Записка о выкупе заканчивается угрозой, что если выкуп не будет выплачен, киберпреступники снова нанесут удар по компании и удалят все данные из своих сетей.

В записке о выкупе Роршаха указано, что его операторы нацелены на компании

Полный текст записки Роршаха о выкупе выглядит следующим образом:

Идентификатор расшифровки: -

Привет, раз ты это читаешь, значит тебя взломали.
Помимо шифрования всех ваших систем, удаления резервных копий, мы также скачивали вашу конфиденциальную информацию.
Вот чего не следует делать:
1) Свяжитесь с полицией, ФБР или другими органами до окончания нашей сделки.
2) Связаться с рекуперационной компанией, что бы они вели с нами диалоги. (Это может замедлить восстановление, и свести наше общение на нет). Не обращайтесь в компании по взысканию, они по сути просто посредники, которые заработают на вас деньги и обманут вас. Нам хорошо известны случаи, когда компании по взысканию сообщают вам, что цена выкупа составляет 5 миллионов долларов, но на самом деле они тайно договариваются с нам за 1 миллион долларов, поэтому они зарабатывают на вас 4 миллиона долларов. Если бы вы обратились к нам напрямую без посредников, то заплатили бы в 5 раз меньше, то есть 1 миллион долларов.
3) Не пытайтесь самостоятельно расшифровывать файлы, а так же не меняйте самостоятельно расширение файла!!! Это может привести к невозможности их расшифровки.

Вот что вы должны сделать сразу после прочтения:
1) Если вы рядовой сотрудник, отправьте наше сообщение генеральному директору компании, а также в ИТ-отдел.
2) Если вы генеральный директор, или специалист ИТ-отдела, или другое лицо, имеющее вес в компании, вам следует связаться с нами в течение 24 часов по электронной почте.

Если вы не заплатите выкуп, мы снова атакуем вашу компанию в будущем. Через несколько недель мы просто повторим нашу атаку и удалим все ваши данные из ваших сетей, ЧТО ПРИВЕДЕТ К ИХ НЕДОСТУПНОСТИ!

В качестве гарантии того, что мы сможем расшифровать файлы, мы предлагаем вам отправить несколько файлов для бесплатной расшифровки.
Письма, чтобы связаться с нами (напишите идентификатор расшифровки в заголовке вашего сообщения):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org

Как обычно распространяется программа-вымогатель типа Роршаха?

Программы-вымогатели, такие как Роршах, обычно распространяются через фишинговые электронные письма, вредоносные вложения или ссылки на зараженные веб-сайты. Злоумышленники могут использовать тактику социальной инженерии, чтобы обманным путем заставить жертв загрузить и запустить вредоносное ПО, например, маскируя программу-вымогатель под законное обновление программного обеспечения или предлагая заманчивое вознаграждение в обмен на переход по ссылке.

В некоторых случаях злоумышленники могут также использовать уязвимости в устаревшем программном обеспечении, чтобы получить доступ к системе жертвы и установить программу-вымогатель. Важно поддерживать операционную систему и все программное обеспечение в актуальном состоянии, использовать антивирусное программное обеспечение и быть осторожным с подозрительными электронными письмами и веб-сайтами, чтобы снизить риск заражения программами-вымогателями.