Rorschach 勒索软件将锁定受害者文件

名为 Rorschach 或 BabLock 的勒索软件被网络攻击者用来加密文件，特别是针对中小型企业以及工业公司。除了加密数据外，该恶意软件还会在文件名末尾附加一个随机字符串和一个两位数。例如，它将“1.jpg”重命名为“1.jpg.slpqne.37”，“2.png”重命名为“2.png.slpqne.39”等。附加的随机字符串可能会有所不同，具体取决于勒索软件的变种。

当系统被黑客攻击时，Rorschach 勒索软件会在桌面上放置勒索字条（“_r_e_a_d_m_e.txt”）并更改桌面墙纸。勒索信表明数据已被加密，备份已被删除，机密信息已被黑客下载。它还建议受害者在支付赎金之前不要向警察、联邦调查局或其他当局报告。

此外，赎金票据不鼓励受害者联系数据恢复公司，因为他们被视为会欺骗他们的中间人。该说明警告受害者不要尝试解密文件或更改文件扩展名，因为这会导致永久性数据丢失。赎金票据为受害者提供了一个电子邮件地址，用于联系威胁参与者并发送多个文件以进行测试解密。

勒索信的结尾威胁说，如果不支付赎金，网络犯罪分子将再次袭击公司并删除其网络中的所有数据。

罗夏勒索笔记表明其运营商的目标公司

罗夏勒索勒索笔记全文如下：

解密ID：-

你好，既然你正在阅读这篇文章，那就意味着你被黑了。
除了加密您的所有系统、删除备份外，我们还下载了您的机密信息。
以下是您不应该做的事情：
1) 在我们的交易结束前联系警察、联邦调查局或其他当局。
2) 联系回收公司，让他们与我们进行对话。（这会减慢恢复速度，并使我们的沟通化为泡影）。不要去找回收公司，他们本质上只是中间人，他们会从你身上赚钱并欺骗你。我们很清楚回收公司告诉你赎金价格是 500 万美元，但实际上他们暗中与你谈判的案例我们 100 万美元，所以他们从你那里赚了 400 万美元。如果您在没有中介的情况下直接与我们联系，您将少支付 5 倍，即 100 万美元。
3）不要尝试自己解密文件，也不要自己更改文件扩展名！！！这可能导致无法解密。

以下是您在阅读后应该立即做的事情：
1) 如果您是普通员工，请将我们的消息发送给公司的 CEO，以及 IT 部门。
2) 如果您是CEO，或IT部门的专家，或其他在公司有影响力的人，您应该在24小时内通过电子邮件与我们联系。

如果你不支付赎金，我们将在未来再次攻击你的公司。在几周内，我们将简单地重复我们的攻击并从你的网络中删除你的所有数据，这将导致他们无法使用！

为了保证我们可以解密文件，我们建议您发送多个文件进行免费解密。
联系我们的邮件（在您的邮件标题中写下解密ID）：
1)wvpater@onionmail.org
2)wvpater1@onionmail.org