Rocklee (.rocklee) ransomware virus - verwijdering en decryptie opties
Geschreven door Tomas Meskauskas op
Wat voor soort malware is Rocklee?
Tijdens het beoordelen van malware-exemplaren die zijn geüpload naar VirusTotal, hebben we een ransomware-variant uit de Makop-familie ontdekt met de naam Rocklee. Deze ransomware versleutelt gegevens, verandert bestandsnamen van alle versleutelde bestanden en laat een losgeldbrief ("+README-WARNING+.txt") achter.
Rocklee voegt de ID van het slachtoffer, het e-mailadres van de aanvaller en de extensie ".rocklee" toe aan bestandsnamen. Het vervangt bijvoorbeeld "1.jpg" door "1.jpg.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", "2.png" door "2.png.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", enzovoort.
Screenshot van bestanden versleuteld door deze ransomware:
Rocklee losgeldbrief overzicht
De notitie legt uit dat de bestanden van het slachtoffer zijn versleuteld zonder de bestandsstructuur te beschadigen. Er staat dat het slachtoffer de daders moet betalen om de bestanden terug te krijgen. Er is een sectie over garanties, waarin wordt beweerd dat de daders alleen geïnteresseerd zijn in hun eigen voordeel en geen rekening houden met de situatie van het slachtoffer.
De daders bieden een methode om hun vermogen om bestanden te ontsleutelen te testen door twee kleine bestanden met eenvoudige extensies te sturen. Er wordt contactinformatie verstrekt met een e-mailadres (cyberrestore2024@onionmail.org), een TOX-ID en een koppeling om de TOX-client te downloaden voor communicatie.
Het decoderingsproces na betaling wordt uitgelegd, met de belofte een scanner-decoderprogramma en gedetailleerde instructies voor gebruik te leveren. Tenslotte wordt ingegaan op mogelijke weerstand, waarbij wordt gewaarschuwd dat het niet meewerken zal resulteren in het verlies van tijd en gegevens, omdat alleen de daders de privésleutel bezitten die nodig is voor de ontcijfering.
Een waarschuwende opmerking benadrukt dat je niet moet proberen versleutelde bestanden te wijzigen zonder verdere schade te riskeren.
Meer details over ransomware
Het betalen van losgeld wordt sterk afgeraden vanwege het risico. Er is geen garantie dat de aanvallers hun beloften van bestandsherstel na betaling zullen nakomen. In plaats daarvan worden slachtoffers dringend verzocht om beschikbare back-ups te gebruiken of alternatieve opties te onderzoeken, zoals het online zoeken naar decoderingstools van derden.
Bovendien is het noodzakelijk om ransomware onmiddellijk te verwijderen van aangetaste systemen om de kans op verdere schade, waaronder extra bestandsversleutelingen, te beperken.
Ransomware in het algemeen
Ransomware versleutelt bestanden of beperkt de toegang tot computersystemen en dwingt slachtoffers losgeld te betalen voor de vrijgave ervan. De verspreiding ervan verloopt via verschillende kanalen. Meestal worden slachtoffers afgeperst om losgeld te betalen, vaak in cryptocurrency, om hun gegevens of systeemtoegang terug te krijgen. Varianten zoals ZENEX, Water en Lkfr illustreren de diversiteit van ransomware-varianten.
Preventieve maatregelen bestaan uit het up-to-date houden van software, het inzetten van antivirussoftware en het bewust maken van phishingtactieken. Bovendien spelen robuuste back-upsystemen een cruciale rol bij het faciliteren van herstel in het geval van een aanval.
Hoe heeft ransomware mijn computer geïnfecteerd?
Ransomware kan computers via verschillende wegen infiltreren, waarbij vaak misbruik wordt gemaakt van de onwetende acties van gebruikers. Een veel voorkomende tactiek bestaat uit misleidende e-mails met schadelijke bijlagen of koppelingen. Het openen hiervan kan leiden tot het uitvoeren van ransomware op systemen.
Exploitkits zijn een andere methode, waarbij gebruik wordt gemaakt van zwakke plekken in de software of het besturingssysteem. Aanvallers maken gebruik van deze zwakke plekken om heimelijk ransomware te introduceren.
Bovendien kan ransomware zich verspreiden via kwaadaardige advertenties, illegale software, crackingtools, downloads uit onbetrouwbare bronnen zoals P2P-netwerken en downloaders van derden, geïnfecteerde USB-drives en gecompromitteerde websites. Elk van deze vectoren vormt een risico op infectie met ransomware voor nietsvermoedende gebruikers.
Naam | Rocklee virus |
Type bedreiging | Ransomware, Crypto Virus, Files locker |
Versleutelde bestandsextensie | .Rocklee |
Losgeld eisend bericht | +README-WARNING+.txt |
Gratis decryptietool beschikbaar? | Nee |
Contactgegevens cybercriminelen | cyberrestore2024@onionmail.org, intelrestore@onionmail.com, intelrestore2022@onionmail.org, Tox chat |
Detectienamen | Avast (Win32:Evo-gen [Trj]), Combo Cleaner (Gen:Variant.Ransom.Makop.149), ESET-NOD32 (een variant van Win32/Filecoder.Phobos.E), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:Win32/Phobos.PB!MTB), volledige lijst van detecties (VirusTotal) |
Symptomen | Bestanden die op uw computer zijn opgeslagen, kunnen niet worden geopend. Bestanden die voorheen functioneerden, hebben nu een andere extensie (bijvoorbeeld my.docx.locked). Er wordt een bericht met een verzoek om losgeld weergegeven op uw bureaublad. Cybercriminelen eisen betaling van losgeld (meestal in bitcoins) om uw bestanden te ontgrendelen. |
Extra informatie | Rocklee maakt deel uit van de Makop-familie |
Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen (macro's), torrentwebsites, schadelijke advertenties. |
Schade | Alle bestanden worden versleuteld en kunnen niet worden geopend zonder losgeld te betalen. Aanvullende wachtwoord stelende trojans en malware infecties kunnen samen met een ransomware infectie worden geïnstalleerd. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Hoe beschermt u zich tegen ransomware-infecties?
Werk uw software en besturingssysteem regelmatig bij om bekende kwetsbaarheden te verhelpen, waardoor de kans op uitbuiting door ransomware wordt verkleind. Gebruik vertrouwde antivirus- en antimalwaresoftware om ransomware-bedreigingen te detecteren en te neutraliseren voordat ze uw systeem kunnen aantasten. Wees discreet bij het klikken op links of het downloaden van bijlagen van onbekende of verdachte e-mails en websites.
Bezoek geen potentieel gevaarlijke websites, vooral geen websites die illegale software of illegale inhoud aanbieden. Wees sceptisch over advertenties en pop-ups op dubieuze webpagina's, omdat deze vectoren kunnen zijn voor infiltratie van ransomware.
Als uw computer al is geïnfecteerd met Rocklee, raden we u aan een scan uit te voeren met Combo Cleaner om deze ransomware automatisch te verwijderen.
Rocklee's tekstbestand, "+README-WARNING+.txt" (GIF):
Tekst in dit bericht:
::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailbox: cyberrestore2024@onionmail.org
Or you can contact us via TOX: 2045F43C36CF86051CC7129C1FF74E84BCDC7A527C059676E546F58A1D8DF94B3C47F17F2E54
You can download TOX client here: hxxps://qtox.github.io/.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files..6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.
Rocklee ransomware verwijderen:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
{loadposition position31
Veelgestelde vragen (FAQ)
Hoe is mijn computer gehackt en hoe hebben hackers mijn bestanden versleuteld?
Computerinfecties ontstaan vaak doordat gebruikers worden misleid door phishingmails met schadelijke koppelingen of bijlagen. Ook gecompromitteerde websites, illegale software, kraakprogramma's en schadelijke advertenties vormen een aanzienlijk risico. Daarnaast kunnen infecties ontstaan door het downloaden van bestanden en programma's van onofficiële bronnen en het gebruik van verouderde software.
Hoe open ik ".rocklee" bestanden?
Om de toegang tot uw bestanden te herstellen is decryptie nodig, omdat ze zijn versleuteld in een ransomware-aanval.
Waar moet ik zoeken naar gratis decoderingstools voor Rocklee ransomware?
In het geval van een ransomware-aanval moet u de website van het No More Ransom-project raadplegen (meer informatie hierboven).
Ik kan u veel geld betalen, kunt u bestanden voor mij decoderen?
Ons team biedt geen decryptieservices. Over het algemeen zijn gegevens die zijn versleuteld door ransomware uitzonderlijk moeilijk te ontsleutelen zonder directe betrokkenheid van de ontwikkelaar of distributeur, tenzij de ransomware kwetsbaarheden heeft die kunnen worden uitgebuit. Daarom is elke derde partij die beweert betaalde decryptieservices te leveren waarschijnlijk bezig met frauduleuze activiteiten of handelt als tussenpersoon.
Helpt Combo Cleaner me bij het verwijderen van Rocklee ransomware?
Combo Cleaner is ontworpen om grondige scans van uw computer uit te voeren en actieve ransomware-infecties te verwijderen. Het gebruik van een antivirusprogramma zoals Combo Cleaner is een essentiële eerste maatregel om ransomware-bedreigingen aan te pakken. Het is echter belangrijk om te begrijpen dat, hoewel beveiligingssoftware ransomware van uw systeem kan verwijderen, het niet de mogelijkheid heeft om bestanden te ontsleutelen die al versleuteld zijn.
▼ Toon discussie