Rokku è una nuova variante di ransomware con caratteristiche particolari.
I cybercriminali sono dei veri “professionisti”, stanno infatti affinando sempre più le proprie tecniche per raggiungere il loro unico obiettivo: far pagare alle proprie vittime il riscatto.
Il propagarsi di Rokku è simile agli altri ransomware: il programma viene veicolato tramite email scritte correttamente e molto personalizzate sul destinatario, pertanto l’utente è portato a credere che il messaggio sia reale e molto importante!
Anche la strategia di infezione è molto accurata.
Prima di tutto questo tipo di ransomware cancella tutte le shadow copy, (le shadow copy sono create da Windows per permettere agli utenti di effettuare backup manuali e automatici), in questo modo è impossibile per l’utente recuperare i propri file.
Dopo aver cancellato tutte le shadow copy, Rokku cripta tutti i documenti con l’algoritmo RSA-512.
Dopo aver criptato i file, vengono rimossi tutti i dati riconducibili al programma, rimangono solo alcune tracce su come riavere i propri file.
Non solo un file .txt con le istruzioni come avviene per tutti i ransomware ma anche una pagina dedicata dove l’utente può selezionare la propria lingua.
Ciò permette ai malintenzionati di raggiungere più persone poiché le barriere della lingua non sono più un problema, in passato infatti il testo era solo in inglese o tradotto in base alla geolocalizzazione.
Il link fornito dai cybercriminali deve essere aperto tramite un browser TOR, si aprirà quindi una pagina in cui sono spiegati i vari passaggi necessari per riavere i propri file.
Con questo nuovo tipo di ransomware i cybercriminali forniscono anche un QR Code per dare la possibilità agli utenti di capire come ottenere e utilizzare i bitcoin, il QR Code apre infatti una pagina di ricerca di Google che spiega come avere i bitcoin.
Rokku è stato rilasciato da poco, ma su Google la ricerca di parole come “Rokku” e “pagare con bitcoin” è in aumento.
È abbastanza interessante vedere come i creatori di ransomware facciano attenzione ai trend di ricerca e si assicurino che le vittime possano capire facilmente come ottenere bitcoin… sembra quasi vogliano diventare un malware “user-friendly”.
Tratto dal blog di Avira
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.