Izberite jezik

Izsiljevalski virus Jaff

24.05.2017

Na SI-CERT smo obravnavali primer okužbe z izsiljevalskim virusom po imenu Jaff, ki zašifrira datoteke z AES algoritmom, ter datotekam doda .jaff končnico. V večini primerov se virus širi preko elektronske pošte, ki vsebuje pdf priponko.


Primer elektronske pošte z zlonamerno priponko

Priložen pdf dokument vsebuje obvestilo, da je potrebno odpreti priloženo docm datoteko, ki je Microsoft Office dokument in vsebuje izvršljivo kodo (makro).


Odprta .pdf priponka

S klikom na PWEXZPW.docm se ta datoteka shrani na računalnik. Ko jo zaženemo, se odpre kot Wordov dokument. Če je varnost makrojev primerno nastavljena, potem vas Word opozori, da je vsebina onemogočena. O tem opozarja tudi vsebina samega dokumenta, ter razlaga, da je potrebno za prikaz omogočiti vsebino.


Odprta .docm datoteka

Vsebina v dokumentu se s tem, ko kliknemo omogoči vsebino (ang. “Enable Content”), nič ne spremeni, se pa izvede zlonamerna makro koda, ki se poveže na spletno stran, s katere prenese izvršljivo (.exe) datoteko (Jaff installer) in jo zažene.


Zamaskirana makro koda v docm dokumentu

Jaff installer nato začne s šifriranjem datotek različnih končnic, med njimi najbolj znane .xlsx, .pdf, .crt, .mpeg, .zip, .txt, .jpg, .doc, .docx, .ppt, .pps, .dot, .htm, .html, .pub, .7z, .tar, .csv ter druge.

Novo kreirani dokumenti tako dobijo dodano končnico .jaff. Primer stare datoteke:
AKCIJE 2017.xlsx, šifrirana datoteka je preimenovana v AKCIJE 2017.xlsx.jaff.


Primer šifrirane datoteke

Virus med postopkom šifriranja v vsaki mapi, kjer je zašifriral datoteke, kreira 3 datoteke in sicer ReadMe.bmp, ReadMe.txt in ReadMe.html. Tovrstna obvestila vsebujejo 10-mestno dešifrirno ID številko, navodilo o namestitvi TOR brskalnika ter naslov do strani v TOR omrežju, kjer lahko žrtev opravi plačilo.


Datoteka ReadMe.bmp


Datoteka ReadMe.txt

Spletna stran v TOR omrežju zahteva vpis ID številke. Po vnosu le-te se odpre stran z navodili, kako plačati odkupnino, vrednost odkupnine v kripto valuti Bitcoin, ter naslov Bitcoin denarnice, kamor naj se izvrši plačilo. Trenuten znesek odkupnine šifrirnega ključa znaša približno 780 EUR.


Navodilo za izvedbo plačila

Prikazan primer izsiljevalskega virusa Jaff je prva verzija virusa, smo pa že zasledili drugo verzijo, ki zašifriranim datotekam doda končnico .wlu, spremenjen pa je tudi grafični vmesnik za prikaz obvestila. Sam postopek okužbe je pri novi verziji virusa ostal enak.

V času pisanja članka še ni na voljo orodje, s katerim bi lahko restavrirali šifrirane datoteke, zato se lahko zanesete le na ustrezno izdelane varnostne kopije. Te morajo biti varno shranjene in ločene od omrežja.

 

Dodano 5.6.2017: V nekaterih primerih se je pokazala možnost povrnitve datotek, zašifriranih z virusom Jaff, brez plačila odkupnine. Za več informacij glede možnosti restavriranja datotek nas uporabniki lahko kontaktirajo na cert@cert.si.

Dodano 15.7.2017: Antivirusni proizvajalec Kaspersky je izdal posodobljeno orodje Rakhni Decryptor, ki odšifrira tudi datoteke, ki so bile zašifrirane z virusom Jaff. Natančna navodila za uporabo orodja so na spletni strani https://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-decryptor-for-the-jaff-ransomware/