Rokku, le rançongiciel « pro »

Rokku est une nouvelle variante qui présente ses propres spécificités également :

  • les cybercriminels ont tiré les leçons de leur « expérience utilisateur » au cours des dernières années.
  • Rokku emboîte le pas à Locky et les rançongiciels du même acabit.
  • Les cybercriminels font preuve d’un grand professionnalisme et n’ont qu’un seul but en tête : amener leurs victimes à payer la rançon.

Mais pourquoi ?

Le mécanisme de diffusion de Rokku imite celui de tous les autres rançongiciels qui sont déjà passés entre les mailles de nos filets. Ce logiciel malveillant est diffusé par des e-mails remarquablement bien rédigés, ciblant finement le destinataire et offrant l’impression d’être très importants ! Nous faisons entrer ces campagnes dans la catégorie du « spear phishing » ou harponnage.

La stratégie d’infection est très minutieuse, ce qui confirme mon assertion concernant le niveau élevé de professionnalisme dont font preuve ces cybercriminels. Tout d’abord, il supprime tous vos clichés instantanés, qui sont créés par une technologie intégrée à Microsoft Windows permettant d’effectuer des copies de sauvegarde manuelles ou automatiques, afin de s’assurer que vous ne pourrez plus récupérer vos fichiers après le chiffrement. Puis Rokku fait ce qu’il sait faire de mieux : chiffrer toutes les images et tous les documents sur votre disque dur et/ou vos lecteurs réseau mappés à l’aide d’un algorithme de chiffrement RSA-512.

rokku1

Après chiffrement, toutes les traces du programme malveillant sur le système sont supprimées. Seules subsistent des références indiquant la marche à suivre pour récupérer les fichiers.

rokku2Au titre de fonctionnalité supplémentaire, les développeurs de Rokku vous permettent de sélectionner une langue sur leur page de destination. Ceci leur permet de toucher un public plus large : les barrières de la langue ou de la traduction ne posent aujourd’hui plus aucun problème. Dans le passé, le texte était seulement proposé en anglais ou, à moins d’être chanceux, dans votre langue maternelle suivant votre emplacement géographique.

rokku3Les liens fournis par les personnes malintentionnées sont des adresses onion liées à TOR (réseau d’échange anonyme). Ceci signifie qu’ils doivent être ouverts dans un navigateur TOR. S’ils sont suivis, une page présentant des fenêtres intempestives d’un aspect visuel parfait détaille la marche à suivre pour récupérer vos données chiffrées.

C’est un code QR, oubliez Da Vinci

Je souhaite surtout jeter un coup de projecteur sur le code QR figurant sur cette page. C’est la première fois que je vois des cybercriminels offrir à leurs victimes la possibilité d’utiliser un code QR pour envoyer la rançon en bitcoins.

rokku4Voici à quoi il ressemble sur mon smartphone :

rokku5

Le code QR ouvrira une demande de recherche Google qui expliquera comment obtenir le montant requis en bitcoins.

rokku6

Cherche réponse…

Depuis la publication de Rokku il y a une semaine, la popularité de ces termes de recherche a considérablement augmenté ainsi que la fréquence de la question « … payer en bitcoins… ». Il est assez intéressant de voir comment les créateurs du rançongiciel se préoccupent de ces tendances en matière de recherche. Ils apportent un grand soin à s’assurer que tout le monde puisse comprendre comment obtenir les bitcoins requis et vont jusqu’à intégrer les liens ! On dirait vraiment qu’ils souhaitent déboucher sur un « logiciel malveillant convivial ».

rokku7La question la plus fréquemment posée par mes amis, proches et même mon dentiste est la suivante : « dois-je payer la rançon ? » Bien que j’aie été en mesure de déverrouiller un fichier gratuitement en utilisant leur outil de déchiffrement, ceci n’apporte en rien la garantie que le reste de vos fichiers sera déverrouillé après avoir payé. C’est pourquoi je dis : NON ! Ne payez pas. EN AUCUN CAS.

Au fait : Avira détecte cette menace sous l’étiquette « TR/ Genasom ».

Cet article est également disponible en: AllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.