Rorschach Ransomware

El ransomware conocido como Rorschach, o BabLock, está diseñado para cifrar archivos y apuntar a pequeñas y medianas empresas, así como a organizaciones industriales. Cuando Rorschach infecta un sistema, no solo cifra los datos, sino que también agrega una cadena aleatoria de caracteres seguida de un número de dos dígitos al final de los nombres de archivo. El propósito de esta modificación es hacer más difícil que las víctimas se den cuenta de que sus datos han sido bloqueados.

Rorschach también suelta un archivo de nota de rescate llamado '_r_e_a_d_m_e.txt' y cambia el fondo de escritorio actual para intimidar aún más a la víctima. La cadena adjunta de caracteres aleatorios y el número de dos dígitos pueden variar según la variante particular del ransomware.

Los datos afectados por el ransomware Rorschach se vuelven inutilizables

La nota de rescate dejada por los atacantes en el sistema infectado sirve como una notificación de que su sistema se ha visto comprometido, sus datos se han cifrado y sus copias de seguridad se han eliminado. La nota también puede mencionar que los atacantes han robado información confidencial.

La nota de rescate generalmente indica a las víctimas que no se comuniquen con la policía, el FBI u otras autoridades hasta que se haya realizado el pago del rescate. También puede disuadir a las víctimas de ponerse en contacto con las empresas de recuperación de datos, alegando que son intermediarios que cobrarán una gran cantidad de dinero sin brindar ninguna asistencia.

La nota de rescate también advierte a las víctimas que no intenten descifrar los archivos ni modificar las extensiones de los archivos, ya que esto puede hacer que sea imposible recuperar los datos cifrados. Los atacantes proporcionan dos direcciones de correo electrónico para que las víctimas se comuniquen con ellos y envíen algunos archivos para probar el descifrado: 'wvpater@onionmail.org' y 'wvpater1@onionmail.org'.

La nota de rescate contiene una amenaza de que si no se realiza el pago del rescate, los atacantes lanzarán otro ataque contra el sistema de la víctima y eliminarán todos los datos de sus redes.

El ransomware Rorschach puede infectar sistemas Windows y Linux

El Rorschach Ransomware es una amenaza sofisticada que está diseñada para propagarse automáticamente cuando se ejecuta en un controlador de dominio de Windows (DC). Una vez ejecutado, el ransomware crea una Política de grupo, lo que le permite propagarse a otras máquinas dentro del dominio. Esta característica se asoció anteriormente con otro tipo de ransomware conocido como LockBit 2.0.

El Rorschach Ransomware es altamente flexible y tiene argumentos opcionales que le permiten adaptarse a las necesidades del operador. También tiene funciones únicas, como el uso de llamadas directas al sistema usando la instrucción "syscall". Estas características hacen que sea muy difícil de detectar y defenderse.

Además, el ransomware tiene varias opciones integradas que se ocultan y oscurecen, lo que las hace accesibles solo a través de la ingeniería inversa del malware. Esto puede estar destinado a la conveniencia de los operadores.

El Rorschach Ransomware utiliza un proceso criptográfico híbrido que combina los algoritmos curve25519 y eSTREAM cipher hc-128 para cifrar los archivos de la víctima. A diferencia de otros ransomware, solo encripta una parte determinada del contenido del archivo original, en lugar del archivo completo. Esto hace que el proceso de encriptación sea más rápido y eficiente.

Es importante tener en cuenta que Rorschach Ransomware se dirige a los sistemas operativos Windows y Linux. Las variantes de Linux de Rorschach tienen similitudes con la amenaza Babuk Ransomware.

El texto completo de la nota de rescate entregada por Rorschach Ransomware es:

'ID de descifrado:

Hola, ya que estás leyendo esto significa que has sido hackeado.
Además de cifrar todos sus sistemas, eliminando copias de seguridad, también descargamos su información confidencial.
Esto es lo que no debes hacer:
1) Póngase en contacto con la policía, el FBI u otras autoridades antes de que finalice nuestro trato.
2) Comunicarse con la empresa de recuperación para que realicen diálogos con nosotros. (Esto puede ralentizar la recuperación y anular nuestra comunicación). No acuda a las empresas de recuperación, son básicamente intermediarios que harán dinero con usted y lo engañarán. Somos muy conscientes de los casos en que las empresas de recuperación le dicen que el precio del rescate es de 5 millones de dólares, pero en realidad negocian en secreto con nosotros por 1 millón de dólares, por lo que ganan 4 millones de dólares de usted. Si nos acercaras directamente sin intermediarios pagarías 5 veces menos, es decir 1 millón de dólares.
3) ¡No intente descifrar los archivos usted mismo, así como tampoco cambie la extensión del archivo usted mismo! Esto puede conducir a la imposibilidad de su descifrado.

Esto es lo que debe hacer inmediatamente después de leerlo:
1) Si es un empleado ordinario, envíe nuestro mensaje al CEO de la empresa, así como al departamento de TI.
2) Si usted es un CEO, o un especialista en el departamento de TI, u otra persona que tenga peso en la empresa, debe comunicarse con nosotros dentro de las 24 horas por correo electrónico.

Si no paga el rescate, volveremos a atacar a su empresa en el futuro. En unas pocas semanas, simplemente repetiremos nuestro ataque y eliminaremos todos sus datos de sus redes, ¡LO QUE CONDUCIRÁ A SU NO DISPONIBILIDAD!

Como garantía de que podemos descifrar los archivos, le sugerimos que envíe varios archivos para descifrarlos de forma gratuita.
Correos para contactarnos (Escriba la ID de descifrado en el título de su mensaje):
1)wvpater@onionmail.org
2)wvpater1@onionmail.org'