Check Point Research （CPR） 和 Check Point 事件響應團隊 （CPIRT） 的研究人員檢測到一種前所未見的勒索軟件，被稱為 Rorschach 勒索軟件，主要用于用于攻擊一家美國公司。

專家指出，Rorschach勒索軟件是獨一無二的。根據(jù)Check Point發(fā)布的報告，Rorschach是迄今為止觀察到的最快的勒索軟件之一。

與其他勒索軟件不同的是，新發(fā)現(xiàn)的Rorschach勒索病毒沒有與任何以前已知的勒索軟件集團關(guān)聯(lián)。

這款勒索軟件能夠執(zhí)行在企業(yè)范圍內(nèi)勒索軟件部署期間手動執(zhí)行的任務(wù)。在談到受害者文件加密的速度時，專家表示 Rorschach是目前觀察到最快的勒索軟件之一。

"Rorschach"勒索軟件采用了一種高效且快速的混合加密方案，該方案混合了curve25519和eSTREAM密碼hc-128算法用于加密。這個過程只對原始文件內(nèi)容的一個特定部分進行加密，而不是整個文件。WinAPI CryptGenRandom被用來生成加密的隨機字節(jié)，作為每個受害者的私鑰。共享密鑰是通過curve25519計算的，使用生成的私鑰和硬編碼的公鑰。最后，計算出的共享密鑰的SHA512哈希值被用來構(gòu)建eSTREAM密碼hc-128的KEY和IV。

（混合加密）

研究人員將Rorschach加密的速度與Lockbit v.3進行了比較，后者需要大約7分鐘來加密受害者的文件，而Rorschach只需4分30秒就能完成。事實證明，一個新的惡魔誕生了。

（贖金票據(jù)）

更恐怖的是，Rorschach勒索軟件是高度可定制的。也就是說，通過調(diào)整加密線程的數(shù)量，它可以實現(xiàn)更快的速度。

Rorschach雖然不隸屬于其他任何勒索軟件組織，但它與其他贖金軟件集團也有相似之處。例如，一些贖金票據(jù)類似于Yanluowang和DarkSide贖金票據(jù)，混合加密方案與Babuk贖金軟件集團類似。同時，Rorschach和LockBit之間也有一些相似之處。

"Rorschach "的代碼是用其他勒索軟件不常見的方式進行保護和混淆的，并且在編譯時進行了編譯器優(yōu)化，以盡可能地提高速度和代碼內(nèi)聯(lián)。就目前來看，Rorschach 從“久負盛譽”的勒索軟件集團中汲取了精華，然后加入了一些自己的獨特功能。

在最近的觀察中安全研究人員表示，在亞洲、歐洲和中東的中小型企業(yè)和工業(yè)公司也出現(xiàn)了Rorschach 的攻擊。