Rorschach Ransomware

Le ransomware connu sous le nom de Rorschach, ou BabLock, est conçu pour chiffrer les fichiers et cibler les petites et moyennes entreprises, ainsi que les organisations industrielles. Lorsque Rorschach infecte un système, il crypte non seulement les données, mais ajoute également une chaîne aléatoire de caractères suivie d'un nombre à deux chiffres à la fin des noms de fichiers. Le but de cette modification est de rendre plus difficile pour les victimes de s'apercevoir que leurs données ont été verrouillées.

Rorschach dépose également un fichier de note de rançon appelé '_r_e_a_d_m_e.txt' et modifie l'arrière-plan actuel du bureau pour intimider davantage la victime. La chaîne de caractères aléatoires ajoutée et le nombre à deux chiffres peuvent varier en fonction de la variante particulière du rançongiciel.

Les données impactées par le rançongiciel Rorschach deviennent inutilisables

La note de rançon laissée par les attaquants sur le système infecté sert de notification que leur système a été compromis, leurs données ont été cryptées et leurs sauvegardes ont été supprimées. La note peut également mentionner que des informations confidentielles ont été volées par les attaquants.

La note de rançon demande généralement aux victimes de ne pas contacter la police, le FBI ou d'autres autorités tant que le paiement de la rançon n'a pas été effectué. Cela peut également décourager les victimes de contacter des sociétés de récupération de données, affirmant qu'elles sont des intermédiaires qui factureront une grosse somme d'argent sans fournir aucune assistance.

La note de rançon avertit également les victimes de ne pas tenter de décrypter les fichiers eux-mêmes ou de modifier les extensions de fichier, car cela pourrait rendre impossible la récupération des données cryptées. Les attaquants fournissent deux adresses e-mail aux victimes pour les contacter et envoyer quelques fichiers pour test de décryptage - "wvpater@onionmail.org" et "wvpater1@onionmail.org".

La note de rançon contient une menace selon laquelle si le paiement de la rançon n'est pas effectué, les attaquants lanceront une autre attaque contre le système de la victime et supprimeront toutes les données de leurs réseaux.

Le Rorschach Ransomware peut infecter les systèmes Windows et Linux

Le Rorschach Ransomware est une menace sophistiquée conçue pour se propager automatiquement lorsqu'elle est exécutée sur un contrôleur de domaine Windows (DC). Une fois exécuté, le ransomware crée une stratégie de groupe, ce qui lui permet de se propager à d'autres machines du domaine. Cette fonctionnalité était auparavant associée à un autre type de rançongiciel connu sous le nom de LockBit 2.0.

Le Rorschach Ransomware est très flexible et dispose d'arguments optionnels qui lui permettent de s'adapter aux besoins de l'opérateur. Il a également des fonctions uniques, telles que l'utilisation d'appels système directs à l'aide de l'instruction "syscall". Ces caractéristiques le rendent très difficile à détecter et à défendre contre.

De plus, le ransomware possède plusieurs options intégrées qui sont dissimulées et obscurcies, ce qui les rend accessibles uniquement par rétro-ingénierie du malware. Ceci peut être destiné à la commodité des opérateurs.

Le Rorschach Ransomware utilise un processus de cryptographie hybride qui combine les algorithmes de chiffrement curve25519 et eSTREAM hc-128 pour chiffrer les fichiers de la victime. Contrairement à d'autres rançongiciels, il ne crypte qu'une certaine partie du contenu du fichier d'origine, plutôt que l'intégralité du fichier. Cela rend le processus de cryptage plus rapide et plus efficace.

Il est important de noter que le Rorschach Ransomware cible à la fois les systèmes d'exploitation Windows et Linux. Les variantes Linux de Rorschach présentent des similitudes avec la menace Babuk Ransomware.

Le texte complet de la note de rançon délivrée par Rorschach Ransomware est :

'ID de déchiffrement :

Salut, puisque vous lisez ceci, cela signifie que vous avez été piraté.
En plus de chiffrer tous vos systèmes, de supprimer les sauvegardes, nous avons également téléchargé vos informations confidentielles.
Voici ce que vous ne devriez pas faire :
1) Contactez la police, le fbi ou d'autres autorités avant la fin de notre accord.
2) Contactez la société de récupération afin qu'elle dialogue avec nous. (Cela peut ralentir la reprise, et mettre notre communication à néant). N'allez pas dans les sociétés de récupération, ce ne sont essentiellement que des intermédiaires qui vous feront gagner de l'argent et vous tromperont. nous pour 1 million de dollars, alors ils gagnent 4 millions de dollars grâce à vous. Si vous nous approchiez directement sans intermédiaires vous paieriez 5 fois moins, soit 1 million de dollars.
3) N'essayez pas de décrypter les fichiers vous-même, et ne modifiez pas vous-même l'extension de fichier !!! Cela peut conduire à l'impossibilité de leur décryptage.

Voici ce que vous devez faire juste après l'avoir lu :
1) Si vous êtes un employé ordinaire, envoyez notre message au PDG de l'entreprise, ainsi qu'au service informatique.
2) Si vous êtes un PDG, ou un spécialiste du service informatique, ou une autre personne qui a du poids dans l'entreprise, vous devez nous contacter dans les 24 heures par e-mail.

Si vous ne payez pas la rançon, nous attaquerons à nouveau votre entreprise à l'avenir. Dans quelques semaines, nous répéterons simplement notre attaque et supprimerons toutes vos données de vos réseaux, CE QUI ENTRAÎNERA LEUR INDISPONIBILITÉ !

Pour garantir que nous pouvons décrypter les fichiers, nous vous suggérons d'envoyer plusieurs fichiers pour un décryptage gratuit.
Mails pour nous contacter (Ecrivez l'ID de déchiffrement dans le titre de votre message) :
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'