Rokku

Rokku Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Salsa20, а затем требует выкуп в 0,2403 Bitcoin (эквивалентно $100,29), чтобы вернуть файлы обратно. C течением времени и в зависимости от размера зашифрованной информации, сумма может возрасти до 5 биткоинов. 

К зашифрованным файлам добавляется расширение .rokku 

Активность этого криптовымогателя пришлась на март-апрель 2016 г. 

О шифровании с помощью Salsa20
Каждый файл шифруется своим уникальным ключом. Ключ к файлу затем шифруется с помощью алгоритма RSA-512 и хранится в последних 252 байтах самого файла. Это уже второй крипто-вымогатель, использующий алгоритм Salsa20 (ещё Petya Ransomware его использует), который обеспечивает большую скорость шифрования по сравнению с алгоритмом AES.

Ключ дешифрования, который выдается для расшифровки одного тестового файла, будет работать только на этом конкретном файле, поскольку каждый зашифрованный вымогателями файл имеет свой индивидуальный ключ.

ВАЖНО!!! Никогда не стоит сообщать вымогателям о личной или семейной ценности зашифрованной информации. Сумма выкупа от этого только возрастёт. 

 Записки с требованием выкупа называются README_HOW_TO_UNLOCK.html и README_HOW_TO_UNLOCK.txt помещаются в каждой папке, где были зашифрованы файлы, информируя жертву о том, что произошло с файлами.

Директория размещения записок о выкупе

Зашифрованные файлы с расширениями .rokku

Запущенный пользователем Rokku сканирует ПК в поиске файлов определенных расширений (документы, фотографии, аудио-видео-файлы и пр.), размером ниже 30 Мб и начинает шифрование файлов. По окончании шифрования жертва информируется о произошедшем с помощью записок о выкупе. 

TXT-вариант записки о выкупе

 Содержание записки о выкупе: 
YOUR FILE HAS BEEN LOCKED
In order to unlock your files, follow the instructions bellow:
1. Download and install Tor Browser
2. After a successful installation, run Tor Browser and wait for its initialization.
3. Type in the address bar: http://zvnvp2rhe3ljwf2m.onion
4. Follow the instructions on the site.

 Перевод записки на русский язык: 
ВАШ ФАЙЛ ЗАБЛОКИРОВАН
Для разблокировки файлов следуйте инструкциям ниже:
1. Скачайте и установите Tor Browser
2. После успешной установки запустите Tor Browser и ждите его инициализации.
3. Введите в адресной строке: HTTP: //zvnvp2rhe3ljwf2m.onion
4. Следуйте инструкциям на сайте.

HTML-вариант записки о выкупе

От жертвы требуется установить браузер Tor и посетить специальный onion-адрес, где размещена пошаговая инструкция по уплате выкупа. 

Каждой жертве присваивается уникальный ID, указанный на странице ORDER ID. 

Окно onion-сайта UNLOCK SERVICE

Вымогатели позволяют расшифровать бесплатно один файл. Это, по их мнению, гарантирует, что другие зашифрованные файлы тоже будут успешно дешифрованы.

Окно декриптера для выбора одного файла

 Распространяется с помощью email-спама и вредоносных вложений, загружаемых с помощью одноранговой (P2P) сети файлов, троянских загрузчиков и поддельных обновлений программного обеспечения. 

QR-код для отправки Bitcoin

Кажется это первый случай, когда кибер-преступники дают своим жертвам возможность прочитать текст с выбором нужного языка и предлагают использовать QR-код для отправки Bitcoin. QR-код откроет поисковый запрос Google, который объясняет, как получить необходимое количество биткоинов.

Все теневые копии файлов и точки восстановления системы удаляются.

Файлы Rokku пока не замечены в местах автозагрузки или любых других директориях, кроме записок от вымогателей. Это означает, что нет активной инфекции, когда ПК перезагружен или работа вредоноса завершена. Чтобы удалить исполняемый файл Rokku, нужно проверить компьютер антивирусным ПО с актуальным набором антивирусных баз. Записки о выкупе нужно будет удалить вручную, так как антивирусы не обнаруживают текстовые файлы.

Список файловых расширений, подвергающихся шифрованию: 
.001, .1dc, .3ds, .3fr, .7z, .a3s, .acb, .acbl, .accdb, .act, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .aia, .aif, .aiff, .aip, .ait, .anim, .apk, .arch00, .ari, .art, .arw, .asc, .ase, .asef, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .bgeo, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .c4d, .cap, .cas, .catpart, .catproduct, .cdr, .cef, .cer, .cfr, .cgm, .cha, .chr, .cld, .clx, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cxx, .d3dbsp, .das, .dat, .dayzprofile, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .dcs, .der, .desc, .dib, .dlc, .dle, .dlv, .dlv3, .dlv4, .dmp, .dng, .doc, .docm, .docx, .drf, .dvi, .dvr, .dwf, .dwg, .dxf, .dxg, .eip, .emf, .emz, .epf, .epk, .eps, .eps2, .eps3, .epsf, .epsp, .erf, .esm, .fbx, .ff, .fff, .fh10, .fh11, .fh7, .fh8, .fh9, .fig, .flt, .flv, .fmod, .forge, .fos, .fpk, .fsh, .ft8, .fxg, .gdb, .ge2, .geo, .gho, .gz, .h, .hip, .hipnc, .hkdb, .hkx, .hplg, .hpp, .hvpl, .hxx, .iam, .ibank, .icb, .icxs, .idea, .iff, .iiq, .indd, .ipt, .iros, .irs, .itdb, .itl, .itm, .iwd, .iwi, .j2k, .java, .jp2, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .k25, .kdb, .kdc, .kf, .kys, .layout, .lbf, .lex, .litemod, .lrf, .ltx, .lvl, .m, .m2, .m2t, .m2ts, .m3u, .m4a, .m4v, .ma, .map, .mat, .max, .mb, .mcfi, .mcfp, .mcgame, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdlp, .mef, .mel, .menu, .mkv, .mll, .mlx, .mn, .model, .mos, .mp, .mp4, .mpqge, .mrw, .mrwref, .mts, .mu, .mxf, .nb, .ncf, .nef, .nrw, .ntl, .obm, .ocdc, .odb, .odc, .odm, .odp, .ods, .odt, .omeg, .orf, .ott, .p12, .p7b, .p7c, .pak, .pct, .pcx, .pdd, .pdf, .pef, .pem, .pfx, .php, .php4, .php5, .pic, .picnc, .pkpass, .png, .ppd, .ppt, .pptm, .pptx, .prj, .prt, .prtl, .ps, .psb, .psd, .psf, .psid, .psk, .psq, .pst, .ptl, .ptx, .pwl, .pxn, .pxr, .py, .qdf, .qic, .r3d, .raa, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtg, .rvt, .rw2, .rwl, .rwz, .sav, .sb, .sbx, .sc2save, .sdf, .shp, .sid, .sidd, .sidn, .sie, .sis, .skl, .skp, .sldasm, .sldprt, .slm, .slx, .slxp, .snx, .soft, .sqlite, .sqlite3, .sr2, .srf, .srw, .step, .stl, .stp, .sum, .svg, .svgz, .swatch, .syncdb, .t12, .t13, .tar, .tax, .tex, .tga, .tif, .tiff, .tor, .txt, .unity3d, .uof, .uos, .upk, .vda, .vdf, .vfl, .vfs0, .vpk, .vpp_pc, .vst, .vtf, .w3x, .wallet, .wav, .wb2, .wdx, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xl, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xvc, .xvz, .xxx, .ycbcra, .yuv, .zdct, .zip, .ztmp (378 расширений). 

Директории, пропускаемые шифровальщиком: 
$recycle.bin
system volume information
windows.old
$windows.~bt
windows
windows
locallow
local
roaming
programdata
program files
program files (x86)

Файлы, пропускаемые шифровальщиком: 
thumbs.db
iconcache.db
bootsec.bak

Файлы, связанные с Ransomware: 
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT
%USERPROFILE%\Desktop\README_HOW_TO_UNLOCK.HTML
%USERPROFILE%\Documents\README_HOW_TO_UNLOCK.TXT
и другие, см. Malwr анализ ниже. 

Подробный анализ Rokku см. в блоге MalwareBytes. По их мнению он связан с Chimera Ransomware.

К сожалению, пока нет бесплатных инструментов для дешифрования файлов, зашифрованных Rokku Ransomware. Таким образом, единственным решением этой проблемы является восстановление файлов из заранее подготовленной резервной копии или переносного бэкапа.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.