Digitalmania – Kegilaan ransomware tidak ada habisnya, sebuah infeksi baru terdeteksi sudah mulai menyebar memanfaatkan email attachment, ini adalah serangan pertama ransomware Rokku. Rokku datang uangpun hilang. Motif kejahatan ekonomi selalu menjadi alasan utama kejahatan ransomware.
Saat pertama kali Rokku terinstal, ia akan menghapus semua salinan shaddow volume pada komputer sehingga tidak lagi dapat digunakan untuk memulihkan data. selanjutnya seluruh file data akan dienkripsi sambil menambahkan ekstensi .rokku
Ketika Rokku mulai mengenkripsi data korban ia menggunakan algoritma Salsa20 dan akan mengenkripsi setiap file dengan kunci unik tersendiri. Kunci file dienkripsi menggunakan RSA dan disimpan dalam 252 byte terakhir dari file terkait. Hal ini memudahkan pengembang malware menyediakan kunci dekripsi individual untuk test dekripsi file. Ransomware ini juga adalh yang pertama menggunakan algoritma Salsa20 yang jauh lebih besar dibandingkan dengan AES.
Folder yang terenkripsi Rokku
Dalam setiap folder yang terenkripsi dan dalam folder startup korban, Rokku akan membuat dua ransom note, README_HOW_TO_UNLOCK.HTML dan README_HOW_TO_UNLOCK.TXT. Ransom note ini berisi informasi atas apa yang terjadi terhadap file korban dan link ke situs pembayaran Rokku di Tor.
Fitur menarik yang dimiliki Rokku adalah penggunaan plugin translator Google Website dalam ransom note. Tujuannya untuk memudahkan korban menterjemahkan isi ransom note bagi mereka yang tidak mengerti bahasa Inggris.
Ransomware Rokku memanfaatkan Tor sebagai situs pembayaran yang mereka sebut sebagai Unlock Service. Layanan ini menarik karenaa mengharuskan Anda meng-upload file terenkripsi untuk login pertama kali. Setelah login, Anda akan disediakan unik “order id” yang bisa digunakan untuk login berikutnya.
Setelah masuk, akan ditampilkan layar Unlock service yang berisi order id Anda, jumlah bitcoin yang harus dibayar, alamat bitcoin untuk mengirim pembayaran. Dari banyak kesaksian mengatakan adanya kode QR terlihat di halaman ini, tetapi ini bukanlah sebuah fitur baru, karena Cryptowall pernah menggunakan QR code sebelumnya.
Unlock Service Rokku memberikan satu file untuk didekripsi secara gratis untuk membuktikan bahwa mereka mampu melakukannya. Ketika Anda upload file, maka kunci dekripsi individual akan tercantum dan Anda bisa mengunduh decryptor untuk mendekripsi file yang dimaksud. Namun kunci individual itu hanya berlaku hanya untuk satu file itu saja sebagaimana setiap file memiliki kunci sendiri yang berbeda dari kunci file lainnya.
Kunci ini kemudian dimasukkan kedalam decryptor sehingga Anda bisa mendekripsi tes file seperti yang ditunjukkan dibawah.
Ransomware Rokku saat ini tidak mengatur lokasi autostart untuk setiap file selain dari ransom note. Itu berarti bahwa tidak ada infeksi ransomware yang aktif setelah komputer di reboot atau malware telah selesai. Untuk menghapus Rokku, dapat dilakukan dengan memindai komputer Anda dengan antivirus seperti ESET misalnya untuk menghapus executable. Untuk ransom note harus dihapus secara manual tidak ransom note dan file non-malicious lain tidak terdeteksi sebagai file berbahaya.
Files associated with the Rokku Ransomware:
- %StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
- %StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT