Rorschach Ransomware
Rorschach または BabLock として知られるランサムウェアは、ファイルを暗号化するように設計されており、中小企業や産業組織を標的にしています。ロールシャッハがシステムに感染すると、データを暗号化するだけでなく、ファイル名の末尾にランダムな文字列とそれに続く 2 桁の数字を追加します。この変更の目的は、被害者が自分のデータがロックされていることに気づきにくくすることです。
Rorschach はまた、「_r_e_a_d_m_e.txt」と呼ばれる身代金メモ ファイルを投下し、現在のデスクトップの背景を変更して被害者をさらに威嚇します。追加されるランダムな文字列と 2 桁の数字は、ランサムウェアの特定の亜種によって異なる場合があります。
ロールシャッハ ランサムウェアの影響を受けたデータが使用できなくなる
攻撃者が感染したシステムに残した身代金メモは、システムが侵害され、データが暗号化され、バックアップが削除されたことを知らせるものです。メモには、機密情報が攻撃者によって盗まれたことも記載されている場合があります。
通常、身代金メモには、身代金の支払いが完了するまで、被害者が警察、FBI、またはその他の当局に連絡しないように指示されています。また、被害者がデータ復旧会社に連絡するのを思いとどまらせ、何の支援も提供せずに多額の料金を請求する仲介者であると主張する可能性もあります。
身代金メモはまた、暗号化されたデータを回復できなくなる可能性があるため、ファイル自体を解読したり、ファイル拡張子を変更したりしないように被害者に警告しています。攻撃者は、被害者が連絡を取るための 2 つの電子メール アドレスを提供し、「wvpater@onionmail.org」と「wvpater1@onionmail.org」というテスト用の復号化用のいくつかのファイルを送信します。
身代金メモには、身代金の支払いが行われない場合、攻撃者が被害者のシステムに対して別の攻撃を開始し、ネットワークからすべてのデータを削除するという脅威が含まれています。
ロールシャッハ ランサムウェアは、Windows および Linux システムに感染する可能性があります
ロールシャッハ ランサムウェアは、Windows ドメイン コントローラー (DC) で実行されると自動的に拡散するように設計された高度な脅威です。実行されると、ランサムウェアはグループ ポリシーを作成し、ドメイン内の他のマシンに拡散できるようにします。この機能は以前、LockBit 2.0 として知られる別の種類のランサムウェアに関連付けられていました。
ロールシャッハ ランサムウェアは柔軟性が高く、オペレータのニーズに適応できるオプションの引数があります。また、「syscall」命令によるダイレクトシステムコールの利用など、独自の機能も備えています。これらの機能により、検出と防御が非常に困難になります。
さらに、ランサムウェアにはいくつかの組み込みオプションがあり、それらは隠され、隠されているため、マルウェアをリバース エンジニアリングすることによってのみアクセスできるようになっています。これは、オペレータの利便性を意図したものである可能性があります。
ロールシャッハ ランサムウェアは、curve25519 と eSTREAM 暗号 hc-128 アルゴリズムを組み合わせたハイブリッド暗号化プロセスを使用して、被害者のファイルを暗号化します。他のランサムウェアとは異なり、ファイル全体ではなく、元のファイル コンテンツの特定の部分のみを暗号化します。これにより、暗号化プロセスがより高速かつ効率的になります。
ロールシャッハ ランサムウェアは、Windows と Linux オペレーティング システムの両方をターゲットにしていることに注意してください。 Rorschach の Linux 亜種は、Babuk ランサムウェアの脅威と類似しています。
ロールシャッハ ランサムウェアが配信した身代金メモの全文は次のとおりです。
'復号化 ID:
こんにちは、これを読んでいるということは、ハッキングされたことを意味します。
すべてのシステムを暗号化し、バックアップを削除するだけでなく、機密情報もダウンロードしました。
してはいけないことは次のとおりです。
1) 取引が終了する前に、警察、fbi、またはその他の当局に連絡してください。
2) 回収業者に連絡を取り、当社との対話を行います。 (これにより回復が遅くなり、コミュニケーションが無駄になる可能性があります)。身代金は 500 万ドルだと言う回収会社の事例はよく知られていますが、実際には密かに交渉を行っています。私たちに 100 万ドルを支払うので、彼らはあなたから 400 万ドルを稼ぎます。仲介者なしで直接私たちにアプローチした場合、支払う金額は 5 分の 1、つまり 100 万ドルになります。
3) 自分でファイルを復号化したり、ファイル拡張子を自分で変更したりしないでください!!!これにより、復号化が不可能になる可能性があります。これを読んだ直後にすべきことは次のとおりです。
1) あなたが普通の従業員である場合は、会社の CEO と IT 部門にメッセージを送ってください。
2) あなたが CEO、IT 部門のスペシャリスト、または会社に影響力のある人物である場合は、24 時間以内に電子メールでご連絡ください。身代金を支払わない場合、私たちは将来あなたの会社を再び攻撃します.数週間以内に、私たちは攻撃を繰り返し、ネットワークからすべてのデータを削除します.
ファイルを復号化できることを保証するために、無料の復号化のために複数のファイルを送信することをお勧めします。
お問い合わせメール(メッセージの件名に復号化IDを記載してください):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'
