Skoči na vsebino

Izsiljevalski virus Jaff

Na SI-CERT smo obravnavali primer okužbe z izsiljevalskim virusom po imenu Jaff, ki zašifrira datoteke z AES algoritmom, ter datotekam doda .jaff končnico. V večini primerov se virus širi preko elektronske pošte, ki vsebuje pdf priponko.

Primer elektronske pošte z zlonamerno priponko
Primer elektronske pošte z zlonamerno priponko

Priložen pdf dokument vsebuje obvestilo, da je potrebno odpreti priloženo docm datoteko, ki je Microsoft Office dokument in vsebuje izvršljivo kodo (makro).

Odprta .pdf priponka
Odprta .pdf priponka

S klikom na PWEXZPW.docm se ta datoteka shrani na računalnik. Ko jo zaženemo, se odpre kot Wordov dokument. Če je varnost makrojev primerno nastavljena, potem vas Word opozori, da je vsebina onemogočena. O tem opozarja tudi vsebina samega dokumenta, ter razlaga, da je potrebno za prikaz omogočiti vsebino.

Odprta .docm datoteka
Odprta .docm datoteka

Vsebina v dokumentu se s tem, ko kliknemo omogoči vsebino (ang. “Enable Content”), nič ne spremeni, se pa izvede zlonamerna makro koda, ki se poveže na spletno stran, s katere prenese izvršljivo (.exe) datoteko (Jaff installer) in jo zažene.

Zamaskirana makro koda v docm dokumentu
Zamaskirana makro koda v docm dokumentu

Jaff installer nato začne s šifriranjem datotek različnih končnic, med njimi najbolj znane .xlsx, .pdf, .crt, .mpeg, .zip, .txt, .jpg, .doc, .docx, .ppt, .pps, .dot, .htm, .html, .pub, .7z, .tar, .csv ter druge.

Novo kreirani dokumenti tako dobijo dodano končnico .jaff. Primer stare datoteke:
AKCIJE 2017.xlsx, šifrirana datoteka je preimenovana v AKCIJE 2017.xlsx.jaff.

Primer šifrirane datoteke
Primer šifrirane datoteke

Virus med postopkom šifriranja v vsaki mapi, kjer je zašifriral datoteke, kreira 3 datoteke in sicer ReadMe.bmp, ReadMe.txt in ReadMe.html. Tovrstna obvestila vsebujejo 10-mestno dešifrirno ID številko, navodilo o namestitvi TOR brskalnika ter naslov do strani v TOR omrežju, kjer lahko žrtev opravi plačilo.

Datoteka ReadMe.bmp
Datoteka ReadMe.bmp
Datoteka ReadMe.txt
Datoteka ReadMe.txt

Spletna stran v TOR omrežju zahteva vpis ID številke. Po vnosu le-te se odpre stran z navodili, kako plačati odkupnino, vrednost odkupnine v kripto valuti Bitcoin, ter naslov Bitcoin denarnice, kamor naj se izvrši plačilo. Trenuten znesek odkupnine šifrirnega ključa znaša približno 780 EUR.

Navodilo za izvedbo plačila
Navodilo za izvedbo plačila

Prikazan primer izsiljevalskega virusa Jaff je prva verzija virusa, smo pa že zasledili drugo verzijo, ki zašifriranim datotekam doda končnico .wlu, spremenjen pa je tudi grafični vmesnik za prikaz obvestila. Sam postopek okužbe je pri novi verziji virusa ostal enak.

V času pisanja članka še ni na voljo orodje, s katerim bi lahko restavrirali šifrirane datoteke, zato se lahko zanesete le na ustrezno izdelane varnostne kopije. Te morajo biti varno shranjene in ločene od omrežja.

Dodano 5.6.2017: V nekaterih primerih se je pokazala možnost povrnitve datotek, zašifriranih z virusom Jaff, brez plačila odkupnine. Za več informacij glede možnosti restavriranja datotek nas uporabniki lahko kontaktirajo na cert@cert.si.

Dodano 15.7.2017: Antivirusni proizvajalec Kaspersky je izdal posodobljeno orodje Rakhni Decryptor, ki odšifrira tudi datoteke, ki so bile zašifrirane z virusom Jaff. Natančna navodila za uporabo orodja so na spletni strani https://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-decryptor-for-the-jaff-ransomware/

Preberite tudi

5 varnostnih nasvetov, ki naj v 2025 gredo v pozabo

Pripravili smo pregled nekaj varnostnih nasvetov, ki naj v 2025 gredo v pozabo, saj gre za prakse, ki več ne ustrezajo sodobnim varnostnim zahtevam.
Več

Kaj nas je naučilo leto 2024?

Iztekajoče leto 2024 so zaznamovali tako odmevnejši kibernetski napadi na velike organizacije, ki so pritegnili veliko medijske pozornosti, kot tudi veliko število incidentov v manjših podjetjih, predvsem prevar z vrivanjem v poslovno komunikacijo (t.i. BEC prevara) in okužb z zlonamerno kodo (t.i. infostealers). 
Več

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA je v partnerstvu s SI-CERT organizirala prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek je 27. novembra 2024, v Klubu Cankarjevega doma, gostil …
Več