четверг, 14 апреля 2016 г.

Rokku

Rokku Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Salsa20, а затем требует выкуп в 0,2403 Bitcoin (эквивалентно $100,29), чтобы вернуть файлы обратно. течением времени и в зависимости от размера зашифрованной информации, сумма может возрасти до 5 биткоинов. 

К зашифрованным файлам добавляется расширение .rokku

Активность этого криптовымогателя пришлась на март-апрель 2016 г. 

О шифровании с помощью Salsa20
Каждый файл шифруется своим уникальным ключом. Ключ к файлу затем шифруется с помощью алгоритма RSA-512 и хранится в последних 252 байтах самого файла. Это уже второй крипто-вымогатель, использующий алгоритм Salsa20 (ещё Petya Ransomware его использует), который обеспечивает большую скорость шифрования по сравнению с алгоритмом AES.

Ключ дешифрования, который выдается для расшифровки одного тестового файла, будет работать только на этом конкретном файле, поскольку каждый зашифрованный вымогателями файл имеет свой индивидуальный ключ.

ВАЖНО!!! Никогда не стоит сообщать вымогателям о личной или семейной ценности зашифрованной информации. Сумма выкупа от этого только возрастёт. 

 Записки с требованием выкупа называются README_HOW_TO_UNLOCK.html и README_HOW_TO_UNLOCK.txt помещаются в каждой папке, где были зашифрованы файлы, информируя жертву о том, что произошло с файлами.
Директория размещения записок о выкупе
Зашифрованные файлы с расширениями .rokku

Запущенный пользователем Rokku сканирует ПК в поиске файлов определённых расширений (документы, фотографии, аудио-видео-файлы и пр.), размером ниже 30 Мб и начинает шифрование файлов. По окончании шифрования жертва информируется о произошедшем с помощью записок о выкупе. 
TXT-вариант записки о выкупе

 Содержание записки о выкупе: 
YOUR FILE HAS BEEN LOCKED
In order to unlock your files, follow the instructions bellow:
1. Download and install Tor Browser
2. After a successful installation, run Tor Browser and wait for its initialization.
3. Type in the address bar: http://zvnvp2rhe3ljwf2m.onion
4. Follow the instructions on the site.

 Перевод записки на русский язык: 
ВАШ ФАЙЛ ЗАБЛОКИРОВАН
Для разблокировки файлов следуйте инструкциям ниже:
1. Скачайте и установите Tor Browser
2. После успешной установки запустите Tor Browser и ждите его инициализации.
3. Введите в адресной строке: HTTP: //zvnvp2rhe3ljwf2m.onion
4. Следуйте инструкциям на сайте.


HTML-вариант записки о выкупе


От жертвы требуется установить браузер Tor и посетить специальный onion-адрес, где размещена пошаговая инструкция по уплате выкупа. 

Каждой жертве присваивается уникальный ID, указанный на странице ORDER ID. 


Окно onion-сайта UNLOCK SERVICE



Вымогатели позволяют расшифровать бесплатно один файл. Это, по их мнению, гарантирует, что другие зашифрованные файлы тоже будут успешно дешифрованы.
Окно декриптера для выбора одного файла

 Распространяется с помощью email-спама и вредоносных вложений, загружаемых с помощью одноранговой (P2P) сети файлов, троянских загрузчиков и поддельных обновлений программного обеспечения. 
QR-код для отправки Bitcoin

Кажется это первый случай, когда кибер-преступники дают своим жертвам возможность прочитать текст с выбором нужного языка и предлагают использовать QR-код для отправки Bitcoin. QR-код откроет поисковый запрос Google, который объясняет, как получить необходимое количество биткоинов.

Все теневые копии файлов и точки восстановления системы удаляются.

Файлы Rokku пока не замечены в местах автозагрузки или любых других директориях, кроме вымогательских записок. Это означает, что нет активной инфекции, когда ПК перезагружен или работа вредоноса завершена. Чтобы удалить исполняемый файл Rokku, нужно проверить компьютер антивирусным ПО с актуальным набором антивирусных баз. Вымогательские записки нужно будет удалить вручную, так как антивирусы не обнаруживают текстовые файлы.

Список файловых расширений, подвергающихся шифрованию: 
.001, .1dc, .3ds, .3fr, .7z, .a3s, .acb, .acbl, .accdb, .act, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .aia, .aif, .aiff, .aip, .ait, .anim, .apk, .arch00, .ari, .art, .arw, .asc, .ase, .asef, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .bgeo, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .c4d, .cap, .cas, .catpart, .catproduct, .cdr, .cef, .cer, .cfr, .cgm, .cha, .chr, .cld, .clx, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cxx, .d3dbsp, .das, .dat, .dayzprofile, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .dcs, .der, .desc, .dib, .dlc, .dle, .dlv, .dlv3, .dlv4, .dmp, .dng, .doc, .docm, .docx, .drf, .dvi, .dvr, .dwf, .dwg, .dxf, .dxg, .eip, .emf, .emz, .epf, .epk, .eps, .eps2, .eps3, .epsf, .epsp, .erf, .esm, .fbx, .ff, .fff, .fh10, .fh11, .fh7, .fh8, .fh9, .fig, .flt, .flv, .fmod, .forge, .fos, .fpk, .fsh, .ft8, .fxg, .gdb, .ge2, .geo, .gho, .gz, .h, .hip, .hipnc, .hkdb, .hkx, .hplg, .hpp, .hvpl, .hxx, .iam, .ibank, .icb, .icxs, .idea, .iff, .iiq, .indd, .ipt, .iros, .irs, .itdb, .itl, .itm, .iwd, .iwi, .j2k, .java, .jp2, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .k25, .kdb, .kdc, .kf, .kys, .layout, .lbf, .lex, .litemod, .lrf, .ltx, .lvl, .m, .m2, .m2t, .m2ts, .m3u, .m4a, .m4v, .ma, .map, .mat, .max, .mb, .mcfi, .mcfp, .mcgame, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdlp, .mef, .mel, .menu, .mkv, .mll, .mlx, .mn, .model, .mos, .mp, .mp4, .mpqge, .mrw, .mrwref, .mts, .mu, .mxf, .nb, .ncf, .nef, .nrw, .ntl, .obm, .ocdc, .odb, .odc, .odm, .odp, .ods, .odt, .omeg, .orf, .ott, .p12, .p7b, .p7c, .pak, .pct, .pcx, .pdd, .pdf, .pef, .pem, .pfx, .php, .php4, .php5, .pic, .picnc, .pkpass, .png, .ppd, .ppt, .pptm, .pptx, .prj, .prt, .prtl, .ps, .psb, .psd, .psf, .psid, .psk, .psq, .pst, .ptl, .ptx, .pwl, .pxn, .pxr, .py, .qdf, .qic, .r3d, .raa, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtg, .rvt, .rw2, .rwl, .rwz, .sav, .sb, .sbx, .sc2save, .sdf, .shp, .sid, .sidd, .sidn, .sie, .sis, .skl, .skp, .sldasm, .sldprt, .slm, .slx, .slxp, .snx, .soft, .sqlite, .sqlite3, .sr2, .srf, .srw, .step, .stl, .stp, .sum, .svg, .svgz, .swatch, .syncdb, .t12, .t13, .tar, .tax, .tex, .tga, .tif, .tiff, .tor, .txt, .unity3d, .uof, .uos, .upk, .vda, .vdf, .vfl, .vfs0, .vpk, .vpp_pc, .vst, .vtf, .w3x, .wallet, .wav, .wb2, .wdx, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xl, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xvc, .xvz, .xxx, .ycbcra, .yuv, .zdct, .zip, .ztmp (378 расширений). 

Директории, пропускаемые шифровальщиком: 
$recycle.bin
system volume information
windows.old
$windows.~bt
windows
windows
locallow
local
roaming
programdata
program files
program files (x86)

Файлы, пропускаемые шифровальщиком: 
thumbs.db
iconcache.db
bootsec.bak

Файлы, связанные с Ransomware: 
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT
%USERPROFILE%\Desktop\README_HOW_TO_UNLOCK.HTML
%USERPROFILE%\Documents\README_HOW_TO_UNLOCK.TXT
и другие, см. Malwr анализ ниже. 

Подробный анализ Rokku см. в блоге MalwareBytes. По их мнению он связан с Chimera Ransomware.

К сожалению, пока нет бесплатных инструментов для дешифрования файлов, зашифрованных Rokku Ransomware. Таким образом, единственным решением этой проблемы является восстановление файлов из заранее подготовленной резервной копии или переносного бэкапа.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton