Rorschach ransomware
A Check Point Research (CPR) kutatói egy egyedi zsarolóprogram-törzsre bukkantak, amelyet egy kereskedelmi biztonsági termék aláírt összetevőjével telepítettek. Más ransomware esetekkel ellentétben a fenyegetettség szereplője nem bújt el semmilyen álnév mögé, és úgy tűnik, hogy nem áll kapcsolatban az ismert ransomware csoportok egyikével sem. Ez a két tény, a ransomware ökoszisztéma ritkaságai felkeltették a CPR érdeklődését, és arra késztetett bennünket, hogy alaposan elemezzék az újonnan felfedezett kártevőket.
Az elemzés során az új ransomware egyedi funkciókat mutatott fel. Az új ransomware viselkedéselemzése azt sugallja, hogy részben autonóm, és automatikusan elterjed, ha egy tartományvezérlőn (DC) fut, miközben törli az érintett gépek eseménynaplóit. Ezenkívül rendkívül rugalmas, nem csak a beépített konfiguráción alapul, hanem számos opcionális argumentum alapján is, amelyek lehetővé teszik, hogy a kezelő igényei szerint változtasson viselkedésén. Noha úgy tűnik, hogy a leghírhedtebb zsarolóprogram-családok ihlette, egyedi funkciókat is tartalmaz, amelyek ritkán láthatók a zsarolóprogramok között, mint például a közvetlen rendszerhívások használata.