Rorschach-Ransomware

Die als Rorschach oder BabLock bekannte Ransomware wurde entwickelt, um Dateien zu verschlüsseln und zielt auf kleine und mittlere Unternehmen sowie Industrieorganisationen ab. Wenn Rorschach ein System infiziert, verschlüsselt es nicht nur Daten, sondern fügt auch eine zufällige Zeichenfolge gefolgt von einer zweistelligen Zahl am Ende von Dateinamen hinzu. Der Zweck dieser Änderung besteht darin, es den Opfern schwerer zu machen, zu bemerken, dass ihre Daten gesperrt wurden.

Rorschach legt auch eine Lösegeldforderung namens „_r_e_a_d_m_e.txt“ ab und ändert den aktuellen Desktop-Hintergrund, um das Opfer weiter einzuschüchtern. Die angehängte Zeichenfolge aus zufälligen Zeichen und die zweistellige Zahl können je nach der jeweiligen Variante der Ransomware variieren.

Die von der Rorschach-Ransomware betroffenen Daten werden unbrauchbar

Die von den Angreifern auf dem infizierten System hinterlassene Lösegeldforderung dient als Benachrichtigung, dass ihr System kompromittiert, ihre Daten verschlüsselt und ihre Backups gelöscht wurden. Die Notiz kann auch erwähnen, dass vertrauliche Informationen von den Angreifern gestohlen wurden.

Die Lösegeldforderung weist die Opfer normalerweise an, sich nicht an die Polizei, das FBI oder andere Behörden zu wenden, bis die Lösegeldzahlung erfolgt ist. Es kann Opfer auch davon abhalten, sich an Datenrettungsunternehmen zu wenden, indem sie behaupten, dass sie Vermittler sind, die einen hohen Geldbetrag verlangen, ohne Unterstützung zu leisten.

Die Lösegeldforderung warnt die Opfer auch davor, zu versuchen, die Dateien selbst zu entschlüsseln oder die Dateierweiterungen zu ändern, da dies die Wiederherstellung der verschlüsselten Daten unmöglich machen könnte. Die Angreifer stellen den Opfern zwei E-Mail-Adressen zur Verfügung, um sie zu kontaktieren und einige Dateien zur Testentschlüsselung zu senden – „wvpater@onionmail.org“ und „wvpater1@onionmail.org“.

Die Lösegeldforderung enthält eine Drohung, dass die Angreifer einen weiteren Angriff auf das System des Opfers starten und alle Daten aus ihren Netzwerken löschen, wenn die Lösegeldzahlung nicht erfolgt.

Die Rorschach Ransomware kann Windows- und Linux-Systeme infizieren

Die Rorschach Ransomware ist eine ausgeklügelte Bedrohung, die entwickelt wurde, um sich automatisch zu verbreiten, wenn sie auf einem Windows-Domänencontroller (DC) ausgeführt wird. Nach der Ausführung erstellt die Ransomware eine Gruppenrichtlinie, die es ihr ermöglicht, sich auf andere Computer innerhalb der Domäne auszubreiten. Diese Funktion wurde zuvor mit einer anderen Art von Ransomware namens LockBit 2.0 in Verbindung gebracht.

Die Rorschach Ransomware ist hochflexibel und verfügt über optionale Argumente, die es ihr ermöglichen, sich an die Bedürfnisse des Betreibers anzupassen. Es verfügt auch über einzigartige Funktionen, wie z. B. die Verwendung direkter Systemaufrufe mit der Anweisung "syscall". Diese Merkmale machen es sehr schwierig, sie zu erkennen und sich dagegen zu wehren.

Darüber hinaus verfügt die Ransomware über mehrere integrierte Optionen, die verborgen und verschleiert sind, sodass sie nur durch Reverse-Engineering der Malware zugänglich sind. Dies kann für die Bequemlichkeit der Bediener beabsichtigt sein.

Die Rorschach Ransomware verwendet einen hybriden Kryptografieprozess, der die Algorithmen curve25519 und eSTREAM cipher hc-128 kombiniert, um die Dateien des Opfers zu verschlüsseln. Im Gegensatz zu anderer Ransomware verschlüsselt sie nur einen bestimmten Teil des ursprünglichen Dateiinhalts und nicht die gesamte Datei. Dadurch wird der Verschlüsselungsprozess schneller und effizienter.

Es ist wichtig zu beachten, dass die Rorschach Ransomware sowohl auf Windows- als auch auf Linux-Betriebssysteme abzielt. Die Linux-Varianten von Rorschach haben Ähnlichkeiten mit der Babuk Ransomware-Bedrohung.

Der vollständige Text der von Rorschach Ransomware gelieferten Lösegeldforderung lautet:

'Entschlüsselungs-ID:

Hallo, da Sie dies lesen, bedeutet das, dass Sie gehackt wurden.
Neben der Verschlüsselung all Ihrer Systeme und dem Löschen von Backups haben wir auch Ihre vertraulichen Informationen heruntergeladen.
Folgendes sollten Sie nicht tun:
1) Wenden Sie sich vor Vertragsende an die Polizei, das FBI oder andere Behörden.
2) Wenden Sie sich an das Wiederherstellungsunternehmen, damit es mit uns Gespräche führt. (Dies kann die Erholung verlangsamen und unsere Kommunikation zunichte machen). Gehen Sie nicht zu Bergungsunternehmen, sie sind im Grunde nur Mittelsmänner, die Geld mit Ihnen verdienen und Sie betrügen. Wir kennen Fälle, in denen Bergungsunternehmen Ihnen sagen, dass das Lösegeld 5 Millionen Dollar beträgt, aber tatsächlich verhandeln sie heimlich mit uns für 1 Million Dollar, also verdienen sie 4 Millionen Dollar an Ihnen. Wenn Sie sich ohne Zwischenhändler direkt an uns wenden, zahlen Sie 5-mal weniger, das heißt 1 Million Dollar.
3) Versuchen Sie nicht, die Dateien selbst zu entschlüsseln, und ändern Sie auch nicht die Dateierweiterung selbst !!! Dies kann zur Unmöglichkeit ihrer Entschlüsselung führen.

Folgendes sollten Sie direkt nach dem Lesen tun:
1) Wenn Sie ein normaler Mitarbeiter sind, senden Sie unsere Nachricht an den CEO des Unternehmens sowie an die IT-Abteilung.
2) Wenn Sie ein CEO, ein Spezialist in der IT-Abteilung oder eine andere Person mit Gewicht im Unternehmen sind, sollten Sie uns innerhalb von 24 Stunden per E-Mail kontaktieren.

Wenn Sie das Lösegeld nicht zahlen, werden wir Ihr Unternehmen in Zukunft erneut angreifen. In einigen Wochen werden wir unseren Angriff einfach wiederholen und alle Ihre Daten aus Ihren Netzwerken löschen, WAS ZU IHRER NICHTVERFÜGBARKEIT FÜHREN WIRD!

Als Garantie dafür, dass wir die Dateien entschlüsseln können, empfehlen wir Ihnen, mehrere Dateien zur kostenlosen Entschlüsselung zu senden.
E-Mails, um uns zu kontaktieren (Schreiben Sie die Entschlüsselungs-ID in den Titel Ihrer Nachricht):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'