Rorschach是一种独特的、快速的勒索软件,未与任何已知集团关联。它使用高效的加密方案,部分加密文件并能调整加密速度。相比Lockbitv.3,Rorschach加密速度更快,且对中小型企业及工业公司构成威胁。了解网络安全知识对于防御此类攻击至关重要。
Check Point Research (CPR) 和 Check Point 事件响应团队 (CPIRT) 的研究人员检测到一种前所未见的勒索软件,被称为 Rorschach 勒索软件,主要用于用于攻击一家美国公司。
专家指出,Rorschach勒索软件是独一无二的。根据Check Point发布的报告,Rorschach是迄今为止观察到的最快的勒索软件之一。
与其他勒索软件不同的是,新发现的Rorschach勒索病毒没有与任何以前已知的勒索软件集团关联。
这款勒索软件能够执行在企业范围内勒索软件部署期间手动执行的任务。在谈到受害者文件加密的速度时,专家表示 Rorschach是目前观察到最快的勒索软件之一。
"Rorschach"勒索软件采用了一种高效且快速的混合加密方案,该方案混合了curve25519和eSTREAM密码hc-128算法用于加密。这个过程只对原始文件内容的一个特定部分进行加密,而不是整个文件。WinAPI CryptGenRandom被用来生成加密的随机字节,作为每个受害者的私钥。共享密钥是通过curve25519计算的,使用生成的私钥和硬编码的公钥。最后,计算出的共享密钥的SHA512哈希值被用来构建eSTREAM密码hc-128的KEY和IV。
研究人员将Rorschach加密的速度与Lockbit v.3进行了比较,后者需要大约7分钟来加密受害者的文件,而Rorschach只需4分30秒就能完成。事实证明,一个新的恶魔诞生了。
更恐怖的是,Rorschach勒索软件是高度可定制的。也就是说,通过调整加密线程的数量,它可以实现更快的速度。
Rorschach虽然不隶属于其他任何勒索软件组织,但它与其他赎金软件集团也有相似之处。例如,一些赎金票据类似于Yanluowang和DarkSide赎金票据,混合加密方案与Babuk赎金软件集团类似。同时,Rorschach和LockBit之间也有一些相似之处。
"Rorschach "的代码是用其他勒索软件不常见的方式进行保护和混淆的,并且在编译时进行了编译器优化,以尽可能地提高速度和代码内联。就目前来看,Rorschach 从“久负盛誉”的勒索软件集团中汲取了精华,然后加入了一些自己的独特功能。
在最近的观察中安全研究人员表示,在亚洲、欧洲和中东的中小型企业和工业公司也出现了Rorschach 的攻击。
网络安全时代没有一个人敢说自己的信息是完全安全的,作为一名想要自卫保护自己的信息安全的人,我们也应该自学一点网络安全的知识来捍卫自身,这里也是分享一份网络安全的学习资料,有需求的小伙伴们可以免费获取哦!
1670
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
