Новая вымогательская программа Rokku, использующая QR-код для передачи инструкций по выплате выкупа, была обнаружена экспертами из Avira.
По словам экспертов, распространение вымогательской программы Rokku осуществляется с помощью фишинга. После проникновения в систему вредоносная программа уничтожает теневые копии файлов, чтобы жертва позже не смогла восстановить зашифрованную информацию. После шифровки файлов с применением алгоритма RSA-512 Rokku избавляется от следов своего присутствия на системе, исключая краткую инструкцию по восстановлению файлов.
Вымогательская программа предлагает пользователю возможность выбора языка инструкции. Обычно киберпреступники предоставляют подобные уведомления на английском, а также в крайне редких случаях – на других языках.
Ссылки, которые были указаны операторами Rokku, ведут на веб-страницы с QR-кодом, размещенные в анонимной сети Tor. QR-код дает жертве возможность оперативно перечислить выкуп на счет киберпреступников. После того, как пользователь просканировал код, он перенаправляется на поисковую выдачу Google по запросу о способах получения необходимой суммы в биткоинах.
Rokku применяется злоумышленниками не более 2 недель, но экспертами Avira уже зафиксировано стремительное увеличение числа поисковых запросов об этой вредоносной программе и способах оплаты биткоинами.