史上最強勒索軟件現身 加密勒索僅需4分30秒！

Check Point Research （CPR） 和 Check Point 事件響應團隊 （CPIRT） 的研究人員檢測到一種前所未見的勒索軟件，被稱為 Rorschach 勒索軟件，主要用于用于攻擊一家美國公司。

專家指出，Rorschach勒索軟件是獨一無二的。根據Check Point發布的報告，Rorschach是迄今為止觀察到的最快的勒索軟件之一。

與其他勒索軟件不同的是，新發現的Rorschach勒索病毒沒有與任何以前已知的勒索軟件集團關聯。

這款勒索軟件能夠執行在企業范圍內勒索軟件部署期間手動執行的任務。在談到受害者文件加密的速度時，專家表示 Rorschach是目前觀察到最快的勒索軟件之一。

"Rorschach"勒索軟件采用了一種高效且快速的混合加密方案，該方案混合了curve25519和eSTREAM密碼hc-128算法用于加密。這個過程只對原始文件內容的一個特定部分進行加密，而不是整個文件。WinAPI CryptGenRandom被用來生成加密的隨機字節，作為每個受害者的私鑰。共享密鑰是通過curve25519計算的，使用生成的私鑰和硬編碼的公鑰。最后，計算出的共享密鑰的SHA512哈希值被用來構建eSTREAM密碼hc-128的KEY和IV。

（混合加密）

研究人員將Rorschach加密的速度與Lockbit v.3進行了比較，后者需要大約7分鐘來加密受害者的文件，而Rorschach只需4分30秒就能完成。事實證明，一個新的惡魔誕生了。

（贖金票據）

更恐怖的是，Rorschach勒索軟件是高度可定制的。也就是說，通過調整加密線程的數量，它可以實現更快的速度。

Rorschach雖然不隸屬于其他任何勒索軟件組織，但它與其他贖金軟件集團也有相似之處。例如，一些贖金票據類似于Yanluowang和DarkSide贖金票據，混合加密方案與Babuk贖金軟件集團類似。同時，Rorschach和LockBit之間也有一些相似之處。

"Rorschach "的代碼是用其他勒索軟件不常見的方式進行保護和混淆的，并且在編譯時進行了編譯器優化，以盡可能地提高速度和代碼內聯。就目前來看，Rorschach 從“久負盛譽”的勒索軟件集團中汲取了精華，然后加入了一些自己的獨特功能。

在最近的觀察中安全研究人員表示，在亞洲、歐洲和中東的中小型企業和工業公司也出現了Rorschach 的攻擊。