Rorschach 勒索軟件將鎖定受害者文件

名為 Rorschach 或 BabLock 的勒索軟件被網絡攻擊者用來加密文件，特別是針對中小型企業以及工業公司。除了加密數據外，該惡意軟件還會在文件名末尾附加一個隨機字符串和一個兩位數。例如，它將“1.jpg”重命名為“1.jpg.slpqne.37”，“2.png”重命名為“2.png.slpqne.39”等。附加的隨機字符串可能會有所不同，具體取決於勒索軟件的變種。

當系統被黑客攻擊時，Rorschach 勒索軟件會在桌面上放置勒索字條（“_r_e_a_d_m_e.txt”）並更改桌面牆紙。勒索信表明數據已被加密，備份已被刪除，機密信息已被黑客下載。它還建議受害者在支付贖金之前不要向警察、聯邦調查局或其他當局報告。

此外，贖金票據不鼓勵受害者聯繫數據恢復公司，因為他們被視為會欺騙他們的中間人。該說明警告受害者不要嘗試解密文件或更改文件擴展名，因為這會導致永久性數據丟失。贖金票據為受害者提供了一個電子郵件地址，用於聯繫威脅參與者並發送多個文件以進行測試解密。

勒索信的結尾威脅說，如果不支付贖金，網絡犯罪分子將再次襲擊公司並刪除其網絡中的所有數據。

羅夏勒索筆記表明其運營商的目標公司

羅夏勒索勒索筆記全文如下：

解密ID：-

你好，既然你正在閱讀這篇文章，那就意味著你被黑了。
除了加密您的所有系統、刪除備份外，我們還下載了您的機密信息。
以下是您不應該做的事情：
1) 在我們的交易結束前聯繫警察、聯邦調查局或其他當局。
2) 聯繫回收公司，讓他們與我們進行對話。（這會減慢恢復速度，並使我們的溝通化為泡影）。不要去找回收公司，他們本質上只是中間人，他們會從你身上賺錢並欺騙你。我們很清楚回收公司告訴你贖金價格是 500 萬美元，但實際上他們暗中與你談判的案例我們 100 萬美元，所以他們從你那裡賺了 400 萬美元。如果您在沒有中介的情況下直接與我們聯繫，您將少支付 5 倍，即 100 萬美元。
3）不要嘗試自己解密文件，也不要自己更改文件擴展名！！！這可能導致無法解密。

以下是您在閱讀後應該立即做的事情：
1) 如果您是普通員工，請將我們的消息發送給公司的 CEO，以及 IT 部門。
2) 如果您是CEO，或IT部門的專家，或其他在公司有影響力的人，您應該在24小時內通過電子郵件與我們聯繫。

如果你不支付贖金，我們將在未來再次攻擊你的公司。在幾週內，我們將簡單地重複攻擊並從你的網絡中刪除你的所有數據，這將導致他們無法使用！

為了保證我們可以解密文件，我們建議您發送多個文件進行免費解密。
聯繫我們的郵件（在您的郵件標題中寫下解密ID）：
1)wvpater@onionmail.org
2)wvpater1@onionmail.org