Rokku, il ransomware “professionale”

Rokku è una nuova variante, anche questa con determinate peculiarità.

  • I pirati informatici hanno imparato dall’esperienza utente maturata negli anni passati.
  • Rokku cavalca l’onda di ransomware come Locky e gli altri.
  • I pirati informatici sono veramente professionali e hanno in mente un unico scopo: come fare in modo che le loro vittime paghino il riscatto.

Ma perché?

Il meccanismo di diffusione di Rokku è molto simile a quello degli altri ransomware già noti. Il programma dannoso viene diffuso con email scritte in modo quasi perfetto, indirizzate esattamente al destinatario e che hanno l’aria di essere veramente importanti! Queste campagne sono note con il nome di “spear phishing”.

Anche la strategia di infezione è molto accurata, il che conferma la mia affermazione che i pirati informatici lavorino in modo molto professionale. Per escludere ogni possibilità che tu possa recuperare i file crittografati, per prima cosa vengono eliminate tutte le shadow copy (copie ombra) create con la tecnologia di Microsoft Windows che permette di generare copie di backup manuali o automatiche. Poi, Rokku fa quello che sa fare meglio, ossia crittografare tutte le immagini e i documenti presenti sul tuo disco rigido e/o sulle unità di rete mappate con un algoritmo di crittografia RSA-512.

rokku1Una volta eseguita la crittografia, tutte le tracce del programma dannoso vengono rimosse dal sistema. Si trovano solo informazioni su come gli utenti possano recuperare i propri file.

rokku2Come funzionalità aggiuntiva, gli sviluppatori di Rokku ti permettono addirittura di scegliere la lingua della pagina di destinazione. Ciò permette loro di raggiungere un pubblico più ampio: le barriere rappresentate dalla lingua o dalla traduzione non sono più un problema. In passato il testo era offerto solo in inglese o, con un pizzico di fortuna, nella tua lingua madre sulla base della posizione geografica.

rokku3I link forniti dai malintenzionati sono indirizzi anonimi di tipo “onion”, ovvero “a cipolla”, che si riferiscono a TOR (rete anonima). Ciò significa che devono essere aperti con un browser TOR. Seguendo questi link si apre una pagina, bella e confortevole, che spiega quali siano i passaggi necessari per recuperare i dati crittografati.

Stiamo parlando del codice QR, non del Codice Da Vinci

Tuttavia, ciò che desidero realmente sottolineare è la presenza, in questa pagina, del codice QR. È la prima volta che pirati informatici offrono alle proprie vittime la possibilità di usare un codice QR per inviare loro il riscatto in bitcoin.

rokku4Ecco quello che è comparso sul mio smartphone:

rokku5

Il codice QR aprirà una query di ricerca di Google che spiega come procurarsi la quantità necessaria di bitcoin.

rokku6

Alla ricerca della risposta

Dalla settimana scorsa, quando Rokku è entrato in circolazione, la frequenza con cui questi termini, insieme alla domanda “…pagamento in bitcoin…”, sono stati cercati è aumentata in misura considerevole. È piuttosto interessante vedere fino a che punto i creatori di ransomware siano consapevoli di questo trend di ricerca. Fanno il possibile per garantire che tutti capiscano come procurarsi i bitcoin necessari, suggerendo addirittura i link! Sembrano veramente voler essere un “malware di facile utilizzo”.

rokku7La domanda posta più di frequente dai miei amici, parenti e persino dal mio dentista è: “Che faccio, pago il riscatto?” Anche se sono riuscito a sbloccare un file gratuitamente servendomi del loro strumento di decrittografia, questo non garantisce che il resto dei file venga sbloccato dopo il pagamento. Perciò: NO! Non pagare. MAI.

A proposito: Avira rileva questa minaccia come “TR/ Genasom”.

Questo articolo è disponibile anche in: TedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.