Ransomware Rokku mit eigener Charakteristik

wp_rokkuDen Experten von Emsisoft ist wieder eine neue Form einer Ransomware mit Namen “Rokku” ins Netz gegangen. Sie ermöglicht es betroffenen Anwendern, erstmals über QR-Code einen Lösegeld von 100 USD für die Entschlüsselung der Daten an die Kriminellen zu bezahlen.

Die Ransomware “Rokku” ist eine weiteres Schadprogramm, das wie viele andere auch über E-Mail Kampagnen große Verbreitung findet. Allerdings nicht mit simplen Spam, sondern vielmehr mit professioneller Optik und personalisierten Ansprache. Der Empfänger wird gezielt dazu verleitet, den kompromittierten Anhang zu öffnen. Das Vorgehen ist auch unter dem Begriff “Spearphishing” bekannt.

Bildschirmfoto 2016-04-05 um 13.26.27

Bild: blog.avira.com – Rokku Meldung!

Wenn Rokku auf dem System aktiv wird, entfernt dieser als erstes alle Volume-Schatten Kopien, so dass keine Datenwiederherstellung mehr möglich ist. Anschließend werden alle Daten auf dem System und angeschlossenen Laufwerken verschlüsselt und mit der Erweiterung .rokku versehen, so wird z.B. aus test.jpg die Datei test.jpg.rokku. Laut dem Experten Fabian Wosar (Emsisoft) wird für die Verschlüsselung der Daten, der Salsa20 Algorithmus verwendet, wobei jede einzelne Datei seinen eigenen eindeutigen Schlüssel erhält und dann mit RSA verschlüsselt wird. Auf diese Weise können die Kriminellen individuelle Dekodierungsschlüssel für Testdateien zur Verfügung zu stellen.

Nach der Verschlüsselung der Daten, werden alle Spuren des Schadprogramms auf dem System entfernt und nur ein Hinweise darüber hinterlassen, wie der Anwender seine Dateien zurückbekommen kann.

In jedem Ordner mit verschlüsselten Daten und im Autostart-Ordner hinterlegt “Rokku” zwei Lösegeld Notizen “README_HOW_TO_UNLOCK.HTML” und “README_HOW_TO_UNLOCK.TXT“. Weiterhin ermöglicht “Rokku” in seiner Lösegeldforderung mit dem Google Website Translator Plugin, eine einfache Übersetzung z.B. für nicht englisch-sprachige Anwender.

Bildschirmfoto 2016-04-05 um 13.46.40

Bild: blog.avira.com – Entsperren Service

Sobald der Anwender den Rechner erneut startet, wird der “Entsperr-Bildschirm” angezeigt! Mit einer Order-ID und weiteren Informationen, soll das Lösegeldes von 0.242 Bitcoint (ca. 100 USD) an eine Bitcoin-Adresse über eine verschlüsselte Tor-Verbindung der Kriminellen entrichtet werden. Wem das zu umständlich ist, kann auch erstmals, einen QR-Code nutzten, um das Lösegeld in Form der geforderten Bitcoins auf den Weg zu bringen.

Zum jetzigen Zeitpunkt gibt es keine Möglichkeit die Daten kostenlos zu entschlüsseln! Um der Echtheit der Erpressung Nachdruck zu verleihen, bieten die Kriminellen die Möglichkeit über einen Decrypter, eine einzige Datei wiederherzustellen. Allerdings nur eine Datei, denn jede Datei besitzt wie bereits erwähnt, einen eigenen Schlüssel.

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!

Lösung: Backups sind das Backup gegen Ransomware

Maßnahmen die getroffen werden können, bevor „Rokku“ oder auch andere Ransomware den Rechner infiziert.

blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bilder: freedigitalphotos.net; bleepingcomputer.com