Home Rorschach Ransomware : Comment gérer le chiffreur le plus rapide à ce jour

Rorschach Ransomware : Comment gérer le chiffreur le plus rapide à ce jour

Le ransomware Rorschach, également connu sous le nom de BabLock, est un nouveau malware qui cible les petites et moyennes entreprises. Il s'agit d'une cybermenace particulièrement dangereuse en raison de la vitesse de son cryptage. Le ransomware BabLock attire l'attention des professionnels de la cybersécurité et des experts informatiques en raison de sa chaîne d'attaque sophistiquée et rapide. Rorschach dispose d'un algorithme de cryptage efficace et les entreprises de toutes tailles doivent connaître les techniques du ransomware Rorschach pour l'empêcher.

Quel type de malware est Rorschach ?

Rorschach est un ransomware, qui est un type de malware qui crypte et verrouille les fichiers des victimes, puis demande une rançon en échange de la clé de déchiffrement. Il a été observé pour la première fois en juin 2022 et les experts ont été étonnés car il possède une technique de cryptage unique. Il existe plusieurs variantes d'extension, y compris des incréments numériques de 00 à 99 après l'extension de cryptage fixe. Cela signifie qu’une seule machine infectée possède plusieurs extensions de ransomware. Le ransomware Rorschach ne semble avoir de relation avec aucune autre famille ou groupe de ransomware. Il n’a pas non plus de marque, contrairement aux autres groupes de ransomwares.

Rorschach en résumé

Nom confirmé

  • Rançongiciel BabLock

Type de menace

  • Rançongiciel
  • Virus cryptographique
  • Casier de fichiers

Extension de fichiers cryptés

  • Chaîne aléatoire et nombre à deux chiffres

Message exigeant une rançon

  • _r_e_a_d_m_e.txt

Existe-t-il un décrypteur gratuit disponible ?

  • Non

Noms de détection

  • AvastWin64 : RansomX-gen [Rançon]
  • EmsisoftGénération : Variante.Lazy.228670 (B)
  • KasperskyTrojan.Win64.DLLhijack.cw
  • MalwarebytesMalware.AI.3750245446

Symptômes

  • Impossible d'ouvrir les fichiers stockés sur l'ordinateur
  • Lettre de demande de rançon sur le bureau et dans chaque dossier
  • Les fichiers ont une nouvelle extension de lettres aléatoires et deux chiffres de 00 à 99.
  • Une note avec des instructions apparaît lorsque la victime tente d'ouvrir un fichier crypté

Méthodes de distribution

  • Accès à distance vulnérable (tel que RDP)
  • Pièces jointes infectées (e-mails de phishing)
  • Sites Web torrent (liens ou fichiers infectés)
  • Annonces malveillantes (malvertising)

Conséquences

  • Les fichiers sont cryptés et verrouillés jusqu'au paiement de la rançon
  • Vol de mot de passe
  • Des logiciels malveillants supplémentaires peuvent être installés
  • Fuite de données

Prévention

  • Antivirus et anti-malware
  • Logiciel mis à jour
  • Système d'exploitation (OS) mis à jour
  • Pare-feu
  • N'ouvrez pas une pièce jointe à un e-mail provenant d'une source inconnue
  • Ne téléchargez pas de fichiers à partir de sites Web suspects
  • Ne cliquez pas sur les publicités sauf si vous êtes sûr que c'est sûr
  • Accédez uniquement aux sites Web provenant de sources fiables

Comment Rorschach a-t-il infecté votre ordinateur

Le ransomware Rorschach s'introduit dans votre ordinateur ou votre réseau de plusieurs manières :

  • Des chevaux de Troie.Un cheval de Troie est un logiciel qui promet d’effectuer une tâche mais en exécute une autre, généralement malveillante. Ils prennent la forme de faux programmes, pièces jointes et autres types de fichiers, trompant les victimes.
  • Service à distance vulnérable.Les attaques du ransomware Rorschach se produisent également via des services distants externes non sécurisés. Les attaquants exploiteront les outils RDP (Remote Desktop Protocol) dont les informations d’identification sont connues, réutilisées, faibles ou reformulées pour accéder aux réseaux des entreprises et fuir des données.
  • Vulnérabilités logicielles connues.Les pirates utilisent également des logiciels présentant des vulnérabilités connues pour attaquer les entreprises. C’est pourquoi il est très important de maintenir tous les logiciels à jour et de protéger les outils d’administration à distance comme RDP. Dans le cas du ransomware BabLock, le groupe utilise l'outil de sécurité légitime dansCortex XDR de Palo Alto Networkscomme méthode d'attaque initiale.

Demande de rançon Rorschach

Outre le fichier texte contenant la demande de rançon, le ransomware Rorschach modifie également le fond d'écran du bureau en un texte indiquant aux victimes d'ouvrir le fichier pour plus d'informations.

Exemple de fond d'écran du ransomware Rorschach

ID de décryptage : –

Bonjour, puisque vous lisez ceci, cela signifie que vous avez été piraté.

En plus de chiffrer tous vos systèmes et de supprimer les sauvegardes, nous avons également téléchargé vos informations confidentielles.

Voici ce que vous ne devriez pas faire :

1) Contactez la police, le FBI ou d'autres autorités avant la fin de notre offre.

2) Contactez l'entreprise de valorisation afin qu'elle dialogue avec nous. (Cela peut ralentir la reprise et mettre notre communication à néant). Ne vous adressez pas aux sociétés de récupération, ce ne sont essentiellement que des intermédiaires qui gagneront de l’argent et vous tromperont. Nous connaissons bien les cas où les sociétés de récupération vous disent que le prix de la rançon est de 5 millions de dollars, mais en fait, elles négocient secrètement avec nous pour 1 million de dollars, elles gagnent donc 4 millions de dollars grâce à vous. Si vous nous contactiez directement sans intermédiaires, vous paieriez 5 fois moins, soit 1 million de dollars.

3) N'essayez pas de décrypter les fichiers vous-même et ne modifiez pas vous-même l'extension du fichier !!! Cela peut conduire à l'impossibilité de leur décryptage.

Voici ce que vous devriez faire juste après l’avoir lu :

1) Si vous êtes un salarié ordinaire, envoyez notre message au PDG de l'entreprise, ainsi qu'au service informatique.

2) Si vous êtes PDG, ou un spécialiste du service informatique, ou une autre personne ayant du poids dans l'entreprise, vous devez nous contacter dans les 24 heures par e-mail.

Si vous ne payez pas la rançon, nous attaquerons à nouveau votre entreprise à l'avenir. Dans quelques semaines, nous répéterons simplement notre attaque et supprimerons toutes vos données de vos réseaux, CE QUI ENTRAÎNERA LEUR INDISPONIBILITÉ !

Pour garantir que nous pouvons décrypter les fichiers, nous vous suggérons d'envoyer plusieurs fichiers pour un décryptage gratuit.

Mails pour nous contacter (Ecrivez l'identifiant de décryptage dans le titre de votre message)

Comment fonctionne le rançongiciel Rorschach

Le rançongiciel Rorschach (BabLock) a déployé sur les machines infectées un package multicomposant (winutils.dll) avec des fichiers tels que :

  • Le fichier ransomware crypté (config.ini)
  • DarkLoader, un décrypteur et injecteur de ransomware
  • Un exécutable non malveillant
  • Un fichier CMD pour exécuter le binaire non malveillant en utilisant le mot de passe correct

Il s’agit d’un ransomware subtil, qui n’a pas connu beaucoup de cas en 2022 et qui reste sous le radar. Cependant, en avril 2023, il est devenu le chiffreur de ransomware le plus rapide à ce jour. BabLock est un ransomware très sophistiqué et facile à distinguer en raison de son cryptage unique, comme l'ajout d'un nombre de 00 à 99 à l'extension. De plus, il est hautement personnalisable

1. Évasion des solutions de sécurité

Rorschach génère le processus en mode Suspendu et donne des arguments falsifiés - une chaîne répétitive du chiffre 1. L'objectif est de réécrire en mémoire, d'arrêter une liste prédéfinie de tâches, d'effacer le système de sécurité Windows et Windows Powershell et de désactiver le pare-feu Windows.

2. Auto-propagation

Le ransomware Rorschach se propagera ensuite à d’autres machines du domaine. Après cela, il se copie dans le dossier %Public% de chaque appareil du domaine. Le processus de cryptage du ransomware BabLock prend en moyenne 4 minutes, tandis que LockBit 3.0, également un ransomware très rapide, prend environ 7 minutes pour crypter les fichiers sur les ordinateurs des victimes.

Empêcher l'attaque du ransomware Rorschach

Il est plus facile et moins coûteux de prévenir les attaques de ransomware que de s’en remettre. Le ransomware Rorschach peut coûter l’avenir de votre entreprise et même fermer ses portes.

LeLe gang Rorschach cible les hôpitaux américains pour voler les données d’un million de patientset exploiter des vulnérabilités connues sous le nom de zero-day. Il s’agit de failles logicielles que les développeurs corrigent grâce à de nouvelles mises à jour. Selon le HHS, en 2022, plus de 289 hôpitaux ont été victimes de Rorschach. Cela signifie que vous devez conserver un logiciel à jour pour protéger vos données contre le ransomware Rorschach. Cependant, les cybercriminels peuvent parfois être plus rapides et atteindre leurs victimes avant la publication d’une mise à jour.

1. Utilisez des mots de passe forts

Assurez-vous que chaque compte dispose d'un mot de passe créé aléatoirement avec un mélange de chiffres, de lettres et de caractères spéciaux pour empêcher tout accès non autorisé.

2. Gardez le logiciel à jour

Comme mentionné précédemment, les mises à jour logicielles peuvent corriger les vulnérabilités que les cyberattaquants peuvent exploiter pour pénétrer dans votre réseau d'entreprise. Garder le logiciel à jour augmentera la sécurité de votre système.

3. Planifiez des sauvegardes régulières

Les sauvegardes constituent le moyen le plus efficace de restaurer vos données, que vous les ayez perdues à cause d'une catastrophe naturelle ou d'une cyberattaque. C’est également le moyen le plus rapide de reprendre le travail après une catastrophe telle qu’un attentat de Rorschach.

Lecture recommandée :Malware vs Ransomware : différents types et comment gérer les attaques

4. Utiliser une solution de cybersécurité

Faire appel à un service de cybersécurité ou disposer d’une équipe informatique pour assurer la sécurité de vos données empêchera les cyberattaquants d’accéder à vos données. Ces professionnels peuvent analyser votre système à la recherche de vulnérabilités et créer des mesures pour améliorer les protocoles et la sensibilisation à la cybersécurité de votre entreprise.

5. Ayez un plan de relance en main

Un plan de récupération de données (DRP) est un document qui définit des stratégies sur la manière de gérer les catastrophes telles que les attaques de ransomware. Ils permettent une récupération plus rapide et une continuité des activités. Découvrez comment créer un plan de récupération de données avec notre guide détaillé.

Comment gérer une attaque de ransomware Rorschach

La première étape pour se remettre de l’attaque Rorschach consiste à isoler l’ordinateur infecté en le déconnectant d’Internet et en supprimant tout appareil connecté. Ensuite, vous devez contacter les autorités locales. Dans le cas des résidents et des entreprises américaines, c'est lebureau local du FBIet leInternet Crime Complaint Centre (IC3).Pour signaler une attaque de ransomware, vous devez rassembler toutes les informations possibles à ce sujet, notamment :

  • Captures d'écran de la demande de rançon
  • Communications avec les acteurs du Rorschach (si vous en avez)
  • Un échantillon d'un fichier crypté

Vous devezne pas supprimer le ransomware, et conservez toutes les preuves de l'attaque. C'est important pourcriminalistique numériqueafin que les experts puissent remonter jusqu'au groupe de hackers et les identifier. C'est en utilisant les données de votre système infecté que les autorités peuventenquêtez sur l'attaque et trouvez le responsable.Une enquête sur une cyberattaque n’est pas différente de toute autre enquête criminelle : elle a besoin de preuves pour retrouver les attaquants.

Après avoir isolé l'appareil et contacté les autorités, vous devez suivre les étapes suivantes pour récupérer vos données :

1. Contactez votre mandataire de réponse aux incidents

Une réponse à un cyberincident est le processus de réponse et de gestion d’un incident de cybersécurité. Un Incident Response Retainer est un accord de service avec un fournisseur de cybersécurité qui permet aux organisations d'obtenir une aide externe en cas d'incidents de cybersécurité. Il fournit aux organisations une forme structurée d'expertise et de soutien par l'intermédiaire d'un partenaire de sécurité, leur permettant de réagir rapidement et efficacement en cas de cyberincident. Un mandat de réponse aux incidents offre une tranquillité d'esprit aux organisations, en offrant un soutien expert avant et après un incident de cybersécurité. La nature spécifique et la structure d’un mandat de réponse à incident varieront en fonction du fournisseur et des exigences de l’organisation. Un bon service de réponse aux incidents doit être robuste mais flexible, fournissant des services éprouvés pour améliorer la posture de sécurité à long terme d’une organisation.

2. Identifiez l'infection par le ransomware

Vous pouvez vérifier quel ransomware a infecté votre ordinateur grâce à l’extension de fichier (certains ransomwares utilisent l’extension de fichier comme nom), ou cela figurera sur la note de rançon. Avec ces informations, vous pouvez rechercher une clé publique de déchiffrement. Dans le cas du ransomware Rorschach, les systèmes basés sur Linux disposent d'un décrypteur.

3. Supprimez le ransomware et éliminez les kits d'exploitation

Avant de récupérer vos données, vous devez garantir que votre appareil est exempt de ransomware et que les attaquants ne peuvent pas lancer une nouvelle attaque via des kits d'exploitation ou d'autres vulnérabilités. Un service de suppression de ransomware peut supprimer le ransomware, créer un document médico-légal pour enquête, éliminer les vulnérabilités et récupérer vos données.

4. Utilisez une sauvegarde pour restaurer les données

Les sauvegardes sont le moyen le plus efficace de récupérer des données. Assurez-vous de conserver des sauvegardes quotidiennes ou hebdomadaires, en fonction de votre utilisation des données.

5. Contactez un service de récupération de ransomware

Si vous n'avez pas de sauvegarde ou si vous avez besoin d'aide pour supprimer le ransomware et éliminer les vulnérabilités, vous devez contacter un service de récupération de données. Le paiement de la rançon ne garantit pas que vos données vous seront restituées. La seule manière garantie de restaurer chaque fichier est d’en disposer. Si ce n'est pas le cas, les services de récupération de données de ransomware peuvent vous aider à décrypter et à récupérer les fichiers. Les experts de SalvageData peuvent restaurer vos fichiers en toute sécurité et garantir que le ransomware Rorschach n'attaquera plus votre réseau. Contactez nos experts 24h/24 et 7j/7 pour un service de récupération d'urgence ou trouvez un centre de récupération près de chez vous.

Related Posts

Comment supprimer le compte Instagram

Comment supprimer le compte Instagram

2024-12-26
Comment corriger l'erreur «Aucun pilote graphique AMD» installé »dans Windows 11

Comment corriger l'erreur «Aucun pilote graphique AMD» installé »dans Windows 11

2025-04-29
Comment changer la taille de la barre des tâches dans Windows 11

Comment changer la taille de la barre des tâches dans Windows 11

2025-04-20
Comment jailbreaker iOS 15 & iOS 16 sur Windows

Comment jailbreaker iOS 15 & iOS 16 sur Windows

2025-04-30
Correction: ruban d'explorateur de fichiers classique manquant dans Windows 11 22h2

Correction: ruban d'explorateur de fichiers classique manquant dans Windows 11 22h2

2025-05-07
Comment jouer au krunker avec VPN: étapes faciles pour les jeux sécurisés et lisses

Comment jouer au krunker avec VPN: étapes faciles pour les jeux sécurisés et lisses

2025-07-17
IPSec Vs. SSL VPN: Encryption VPN expliqué et comparé

IPSec Vs. SSL VPN: Encryption VPN expliqué et comparé

2025-10-01
Comment corriger l'erreur «Aucun pilote graphique AMD» installé »dans Windows 11

Comment corriger l'erreur «Aucun pilote graphique AMD» installé »dans Windows 11

2025-04-29
Tiny Bose SoundLink Micro (2e génération) est en vente sur Amazon pour la première fois

Tiny Bose SoundLink Micro (2e génération) est en vente sur Amazon pour la première fois

2025-10-13
7 façons de corriger le compte et non dans ce magasin

7 façons de corriger le compte et non dans ce magasin

2025-04-30
Intelligence artificielle

Intelligence artificielle

2025-01-20
L'énorme batterie et la charge rapide du OnePlus 15 se mondialisent

L'énorme batterie et la charge rapide du OnePlus 15 se mondialisent

2025-11-06
Comment résoudre «une erreur JavaScript s'est produite dans le processus principal» Erreur sur Windows

Comment résoudre «une erreur JavaScript s'est produite dans le processus principal» Erreur sur Windows

2025-01-27
Avis sur les outils

Avis sur les outils

2025-01-05
Comment ajouter une table des matières (TOC) à n'importe quel thème Ghost

Comment ajouter une table des matières (TOC) à n'importe quel thème Ghost

2024-10-24