Rorschach Ransomware(也称为Bablock)是一种针对中小型业务的新恶意软件。由于其加密速度,这是一个特别危险的网络威胁。由于其复杂且快速移动的攻击链,Bablock勒索软件引起了网络安全专业人员和IT专家的注意。Rorschach具有有效的加密算法,并且所有尺寸的企业都意识到Rorschach Ranschach Ranshach Ransomware Techniques tock tos it it to it its It tos IT。
Rorschach是Ransomware,是一种恶意软件,可以对受害者的文件进行加密和锁定,然后请求赎金以换取解密密钥。它于2022年6月首次出现,专家惊讶,因为它具有独特的加密技术。它具有多个扩展变化,包括固定加密扩展后00-99的数值增量。这意味着一台受感染的机器具有多个勒索软件扩展。Rorschach勒索软件似乎与任何其他勒索软件系列或组没有关系。与其他勒索软件组不同,它也没有任何品牌。
Rorschach概述
确认的名称
- Bablock勒索软件
威胁类型
- 勒索软件
- 加密病毒
- 文件储物柜
加密文件扩展名
- 随机字符串和两个数字号码
赎金要求消息
- _r_e_a_d_m_e.txt
有免费解密者吗?
- 不
检测名称
- avastWin64:Ransomx-Gen [Ransom]
- Emsisoftgen:variant.lazy.228670(b)
- 卡巴斯基trojan.win64.dllhijack.cw
- 恶意软件Malware.AI.3750245446
症状
- 无法打开存储在计算机上的文件
- 桌面和每个文件夹上的赎金需求信
- 文件有一个随机字母的新扩展,从00-99发出了两个数字
- 当受害者试图打开加密文件时,带有指令的注释会弹出
分布方法
- 脆弱的远程访问(例如RDP)
- 受感染的电子邮件附件(网络钓鱼电子邮件)
- Torrent网站(感染的链接或文件)
- 恶意广告(恶意广告)
结果
- 文件被加密并锁定,直到赎金付款
- 密码窃取
- 可以安装其他恶意软件
- 数据泄漏
预防
- 防病毒和抗恶意软件
- 更新的软件
- 更新的操作系统(OS)
- 防火墙
- 不要从未知来源打开电子邮件附件
- 不要从可疑网站下载文件
- 除非您确定它是安全的,否则请不要单击广告
- 仅从可信赖的来源访问网站
Rorschach如何感染您的计算机
Rorschach勒索软件通过许多方法进入您的计算机或网络:
- 特洛伊木马。特洛伊木马是一种承诺执行一项任务但执行另一个任务的软件,主要是恶意的。他们采用伪造程序,附件和其他类型的文件的形式,欺骗了受害者。
- 弱势远程服务。Rorschach勒索软件攻击发生的另一种方式是通过无抵押的外部远程服务。攻击者将利用远程桌面协议(RDP)工具,其凭据是已知,重复使用,弱或改写的,以访问企业网络和泄漏数据。
- 已知的软件漏洞。黑客使用具有已知漏洞的软件也攻击企业。这就是为什么还要保持每个软件更新并保护RDP等远程管理工具非常重要的原因。在Bablock勒索软件案件中,该组使用合法安全工具Palo Alto Networks的Cortex XDR作为初始攻击方法。
Rorschach Ransom注释
除了带有赎金注释的文本文件外,Rorschach Ransomware还将桌面壁纸更改为文字,告诉受害者以打开文件以获取更多信息。
Rorschach勒索软件壁纸的示例
解密ID: -
嗨,由于您正在阅读本文,这意味着您已被黑客入侵。
除了加密所有系统,删除备份外,我们还下载了您的机密信息。
这是您不应该做的:
1)在我们交易结束之前,请与警察,联邦调查局或其他当局联系。
2)与恢复公司联系,以便他们与我们进行对话。 (这可以减慢恢复的速度,并使我们的沟通毫无意义)。不要去恢复公司,他们本质上只是中间人,他们会赚钱并欺骗您。我们很清楚恢复公司告诉您赎金价格为500万美元,但实际上他们以100万美元的赔率与我们进行了秘密谈判,因此他们从您那里赚了400万美元。如果您在没有中介机构的情况下直接与我们联系,您将少付5倍,即100万美元。
3)不要尝试自己解密文件,也不要自己更改文件扩展名!!!这可能导致他们的解密。
这是阅读后应立即做的事情:
1)如果您是普通员工,请将我们的信息发送给公司首席执行官以及IT部门。
2)如果您是IT部门的首席执行官或专家,或者是公司重量的其他人,则应在24小时内通过电子邮件与我们联系。
如果您不支付赎金,我们将来会再次攻击您的公司。几周后,我们将重复我们的攻击并从网络中删除您的所有数据,这将导致其无法获得!
为了保证我们可以解密文件,我们建议您发送几个文件以免费解密。
邮件与我们联系(在您的邮件标题中写解密ID)
Rorschach勒索软件如何工作
Rorschach(Bablock)勒索软件部署在受感染的机器上的一个多组件软件包(winutils.dll),其文件如下:
- 加密的勒索软件文件(config.ini)
- Darkloader,解密和勒索软件喷油器
- 一个非恶意的可执行文件
- CMD文件使用正确的密码执行非alicious二进制文件
这是微妙的勒索软件,在2022年没有很多案件,停留在雷达之下。但是,在2023年4月,它已成为迄今为止最快的勒索软件加密纳。Bablock是一种非常复杂的勒索软件,由于其独特的加密而易于扩展,例如将00-99的数字从00-99添加到扩展名。另外,这是高度可定制的
1。逃避安全解决方案
Rorschach Spawns进程以悬挂模式运行,并给出伪造的参数 - 重复的数字字符串1。目标是在内存中重写,停止预定义的任务列表,清除Windows安全系统和Windows PowerShell,并禁用Windows FireWallAll。
2。自我传播
然后,Rorschach Ransomware将把自己扩展到域内的其他机器。之后,它将自己复制到域上每个设备的%public%文件夹中。Bablock勒索软件加密过程平均需要4分钟,而Lockbit 3.0(也是非常快速的勒索软件)大约需要7分钟才能在受害者计算机上加密文件。
防止Rorschach勒索软件攻击
与从中恢复相比,防止勒索软件攻击更容易和便宜。 Rorschach勒索软件可以使您的业务未来损失,甚至可以关闭其门。
这Rorschach帮派针对美国医院窃取100万患者的数据并利用称为零日的漏洞。这些是软件漏洞通过新更新来纠正开发人员的软件漏洞。根据HHS的说法,在2022年,有289家医院是Rorschach的受害者。这意味着您必须保留更新的软件,以保护您的数据免受Rorschach勒索软件的侵害。但是,网络犯罪分子有时可能更快,并且在发布更新之前到达受害者。
1。使用强密码
确保每个帐户的密码都随机创建,并混合数字,字母和特殊字符,以防止未经授权的访问。
2。保持软件更新
如前所述,软件更新可以关闭网络攻击者可以利用进入您的业务网络的漏洞。保持软件更新将提高您的系统安全性。
3。安排常规备份
备份是恢复数据的最有效方法,无论您因自然灾害还是网络攻击而丢失了数据。它们也是在灾难(例如Rorschach攻击)之后重返工作岗位的最快方法。
4。使用网络安全解决方案
雇用网络安全服务或拥有IT团队来确保数据安全,将防止网络攻击者访问您的数据。这些专业人员可以扫描系统以了解漏洞,并创建措施,以改善您的业务网络安全协议和意识。
5。手头有恢复计划
数据恢复计划(DRP)是一份文档,该文档设置了如何处理诸如勒索软件攻击之类的灾难的策略。它们允许更快的恢复和业务连续性。请参阅如何使用我们的深入指南创建数据恢复计划。
如何处理Rorschach勒索软件攻击
从Rorschach攻击中恢复的第一步是通过与Internet断开连接并卸下任何连接的设备来隔离感染计算机。然后,您必须联系地方当局。对于美国居民和企业,这是当地联邦调查局现场办公室和互联网犯罪投诉中心(IC3)。要报告勒索软件攻击,您必须收集有关它的所有信息,包括:
- 赎金的屏幕截图
- 与Rorschach演员进行交流(如果您有)
- 加密文件的样本
你必须没有删除勒索软件,并保留所有袭击的证据。这很重要数字取证因此,专家可以追溯到黑客小组并识别它们。通过使用感染系统上的数据,当局可以调查攻击并找到责任。网络攻击调查与任何其他刑事调查没有什么不同:它需要证据才能找到攻击者。
隔离设备并与当局联系后,您必须按照下一步检索数据:
1。联系您的事件响应保留器
网络事件响应是响应和管理网络安全事件的过程。事件响应保留器是与网络安全提供商的服务协议,该服务提供商允许组织在网络安全事件中获得外部帮助。它通过安全合作伙伴为组织提供了结构化的专业知识和支持形式,使他们能够在网络事件发生时快速有效地做出响应。事件响应保留者为组织提供了安心,在网络安全事件之前和之后提供了专家的支持。事件响应保留者的特定性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应固定器应该是强大但灵活的,可以提供良好的服务,以增强组织的长期安全姿势。
2。确定勒索软件感染
您可以检查哪些勒索软件通过文件扩展名感染了您的计算机(某些勒索软件将文件扩展名为其名称),或者它将在勒索票据上。有了这些信息,您可以寻找一个公共解密密钥。对于Rorschach勒索软件,基于Linux的系统具有解密器。
3。卸下勒索软件并消除利用套件
在恢复数据之前,您必须确保您的设备不含勒索软件,并且攻击者无法通过漏洞利用工具包或其他漏洞进行新的攻击。勒索软件拆除服务可以删除勒索软件,创建法医文档以进行调查,消除漏洞并恢复您的数据。
4。使用备份来还原数据
备份是恢复数据的最有效方法。确保根据您的数据使用情况保留每日或每周的备份。
5。联系勒索软件恢复服务
如果您没有备份或需要帮助删除勒索软件并消除漏洞,则应联系数据恢复服务。支付赎金并不保证您的数据会退还给您。唯一可以保证的方法可以还原每个文件,如果您有备份。如果您不这样做,勒索软件数据恢复服务可以帮助您解密和恢复文件。Salvagedata专家可以安全地恢复您的文件,并保证Rorschach Ransomware不会再次攻击您的网络。将我们的专家24/7用于紧急恢复服务或在您附近找到恢复中心。