• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Rokku: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Решения
1
Реакции
6,527
Шифровальщик-вымогатель Rokku: Сумма выкупа ниже "обычной"

На вторую половину марта пришлась активность нового шифровальщика-вымогателя Rokku. Мы отложили публикацию для сбора дополнительной информации и пропуска дней, когда любая информация может оказаться "первоапрельской уткой".

Способы распространения Rokku Ransomware те же, что и у другого вредоносного ПО категории Crypto-Ransomware (крипто-вымогатели, шифровальщики-вымогатели): загружаемые с помощью одноранговой (P2P) сети файлы, вредоносные вложения в e-mail сообщения, троянские загрузчики и поддельные обновления программного обеспечения.

Запущенный пользователем Rokku осуществляет поиск пользовательских файлов определённых расширений (документы, фотографии, аудио-видео-файлы и пр.) и размером ниже 30 Мб и начинает шифрование файлов. В процессе работы он добавляет расширение .rokku каждому зашифрованному файлу, благодаря чему можно легко определить, какие файлы были зашифрованы. Каждый файл шифруется с криптографического алгоритма RSA-512 своим уникальным ключом, который встраивается в зашифрованный файл. Шифруются 377 типов файлов. Все теневые копии файлов и точки восстановления системы удаляются.

rokku-ext.webp

Рис.1. Зашифрованные файлы с расширениями .rokku

Вымогательские записки 'README_HOW_TO_UNLOCK.html' и 'README_HOW_TO_UNLOCK.txt' помещаются в каждой папке, где были зашифрованы файлы, информируя жертву о том, что произошло с файлами.

rokku-dir.webp

Рис.2. Директория размещения автозагружаемых вымогательских записок

От жертвы также требуется установить браузер Tor и посетить специальный onion-адрес, где размещена пошаговая инструкция по оплате выкупа в 0,2403 Bitcoin (эквивалентно $ 100,29), которые пострадавший должен уплатить. Примечательно, что выкуп небольшой, по сравнению с условиями других вымогателей. Но с течением времени и в зависимости от размера зашифрованной информации, сумма может возрасти до 5 биткоинов. Не стоит сообщать вымогателям о личной или семейной ценности зашифрованной информации. Сумма выкупа только возрастет.

Каждой жертве присваивается уникальный ID, указанный на странице ORDER ID. Создатели Rokku позволяют расшифровать бесплатно один файл. Это, по их мнению, гарантирует, что другие зашифрованные файлы тоже будут успешно дешифрованы.

rokku-note.webp rokku-homepage.webp
Рис.3-4. Информации (txt и html) от вымогателей для выхода на сайт

rokku-site.webp rokku-decrypt.webp
Рис.5. Окно onion-сайта UNLOCK SERVICE
Рис.6. Окно декриптера для выбора одного файла

Кажется это первый случай, когда киберпреступники дают своим жертвам возможность прочитать текст с выбором нужного языка и предлагают использовать QR-код для отправки Bitcoin. QR-код откроет поисковый запрос Google, который объясняет, как получить необходимое количество Bitcoins.

К сожалению, пока нет бесплатных инструментов для дешифрования файлов, скомпрометированных Rokku Ransomware. Таким образом, единственным решением этой проблемы является восстановление файлов из заранее подготовленной резервной копии.


info-png.28850
Закон об официальном запрете биткоинов в РФ
 
Rokku: Новые штрихи к портрету

К чести сказать, наша статья о крипто-вымогателе Rokku (см. пост выше) была написана за пару дней до публикации на сайте BleepingComputer, и она почти полностью отражает содержание нынешней BC-статьи, которая увидела свет лишь сегодня утром (ночью её еще не было в открытом доступе). Я мог бы оставить всё как есть, но некоторые моменты могут показаться важными для тех, кто будет читать её только сегодня.

Дополнения от BleepingComputer:

1. Rokku шифрует данные жертвы, используя алгоритм Salsa20, каждый файл шифруется своим собственным уникальным ключом. Ключ к файлу затем шифруется с помощью алгоритма RSA-512 и хранится в последних 252 байтах самого файла. Это позволяет разработчикам создавать индивидуальные ключи шифрования для тестового файла дешифрования. Это также первый крипто-вымогатель, использующий алгоритм Salsa20, который обеспечивает большую скорость шифрования по сравнению с алгоритмом AES.

2. Ключ дешифрования, который выдается для расшифровки одного тестового файла, будет работать только на этом конкретном файле, поскольку каждый зашифрованный вымогателями файл имеет свой собственный ключ.

3. Файлы Rokku Ransomware пока не замечены в местах автозагрузки или любых других директориях, кроме вымогательских записок. Это означает, что на самом деле нет активной инфекции, когда ваш ПК перезагружен или работа вредоноса завершена. Чтобы удалить исполняемый файл Rokku, просто просканируйте компьютер вашим антивирусным ПО с актуальным набором антивирусных баз. Вымогательские записки нужно будет удалить вручную, так как антивирусы не обнаруживают текстовые файлы.

Файлы, связанные с Rokku Ransomware:
Код:
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT

 
Назад
Сверху Снизу