Skoči na vsebino

Izsiljevalski virus Jaff

Na SI-CERT smo obravnavali primer okužbe z izsiljevalskim virusom po imenu Jaff, ki zašifrira datoteke z AES algoritmom, ter datotekam doda .jaff končnico. V večini primerov se virus širi preko elektronske pošte, ki vsebuje pdf priponko.

Primer elektronske pošte z zlonamerno priponko
Primer elektronske pošte z zlonamerno priponko

Priložen pdf dokument vsebuje obvestilo, da je potrebno odpreti priloženo docm datoteko, ki je Microsoft Office dokument in vsebuje izvršljivo kodo (makro).

Odprta .pdf priponka
Odprta .pdf priponka

S klikom na PWEXZPW.docm se ta datoteka shrani na računalnik. Ko jo zaženemo, se odpre kot Wordov dokument. Če je varnost makrojev primerno nastavljena, potem vas Word opozori, da je vsebina onemogočena. O tem opozarja tudi vsebina samega dokumenta, ter razlaga, da je potrebno za prikaz omogočiti vsebino.

Odprta .docm datoteka
Odprta .docm datoteka

Vsebina v dokumentu se s tem, ko kliknemo omogoči vsebino (ang. “Enable Content”), nič ne spremeni, se pa izvede zlonamerna makro koda, ki se poveže na spletno stran, s katere prenese izvršljivo (.exe) datoteko (Jaff installer) in jo zažene.

Zamaskirana makro koda v docm dokumentu
Zamaskirana makro koda v docm dokumentu

Jaff installer nato začne s šifriranjem datotek različnih končnic, med njimi najbolj znane .xlsx, .pdf, .crt, .mpeg, .zip, .txt, .jpg, .doc, .docx, .ppt, .pps, .dot, .htm, .html, .pub, .7z, .tar, .csv ter druge.

Novo kreirani dokumenti tako dobijo dodano končnico .jaff. Primer stare datoteke:
AKCIJE 2017.xlsx, šifrirana datoteka je preimenovana v AKCIJE 2017.xlsx.jaff.

Primer šifrirane datoteke
Primer šifrirane datoteke

Virus med postopkom šifriranja v vsaki mapi, kjer je zašifriral datoteke, kreira 3 datoteke in sicer ReadMe.bmp, ReadMe.txt in ReadMe.html. Tovrstna obvestila vsebujejo 10-mestno dešifrirno ID številko, navodilo o namestitvi TOR brskalnika ter naslov do strani v TOR omrežju, kjer lahko žrtev opravi plačilo.

Datoteka ReadMe.bmp
Datoteka ReadMe.bmp
Datoteka ReadMe.txt
Datoteka ReadMe.txt

Spletna stran v TOR omrežju zahteva vpis ID številke. Po vnosu le-te se odpre stran z navodili, kako plačati odkupnino, vrednost odkupnine v kripto valuti Bitcoin, ter naslov Bitcoin denarnice, kamor naj se izvrši plačilo. Trenuten znesek odkupnine šifrirnega ključa znaša približno 780 EUR.

Navodilo za izvedbo plačila
Navodilo za izvedbo plačila

Prikazan primer izsiljevalskega virusa Jaff je prva verzija virusa, smo pa že zasledili drugo verzijo, ki zašifriranim datotekam doda končnico .wlu, spremenjen pa je tudi grafični vmesnik za prikaz obvestila. Sam postopek okužbe je pri novi verziji virusa ostal enak.

V času pisanja članka še ni na voljo orodje, s katerim bi lahko restavrirali šifrirane datoteke, zato se lahko zanesete le na ustrezno izdelane varnostne kopije. Te morajo biti varno shranjene in ločene od omrežja.

Dodano 5.6.2017: V nekaterih primerih se je pokazala možnost povrnitve datotek, zašifriranih z virusom Jaff, brez plačila odkupnine. Za več informacij glede možnosti restavriranja datotek nas uporabniki lahko kontaktirajo na cert@cert.si.

Dodano 15.7.2017: Antivirusni proizvajalec Kaspersky je izdal posodobljeno orodje Rakhni Decryptor, ki odšifrira tudi datoteke, ki so bile zašifrirane z virusom Jaff. Natančna navodila za uporabo orodja so na spletni strani https://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-decryptor-for-the-jaff-ransomware/

Preberite tudi

Prvo urjenje v WB3C, centru za Zahodni Balkan

Slovenija, Francija in Črna gora so letos vzpostavile regionalni učni center za kibernetsko varnost WB3C. V začetku maja 2023 je potekalo prvo usposabljanje, ki ga je skupaj s strokovnjaki iz Francije in regije Zahodnega Balkana vodil predstavnik SI-CERT.
Več

Kibernetska varnost leta 2022 v številkah

Kako je izgledala kibernetska varnost Slovenije v letu 2022 v številkah na SI-CERT? Za začetek je tu nekaj podatkov, več pa seveda kmalu v letnem poročilu.
Več

Vdor v Lastpass – kako ukrepati?

Lansko leto je Lastpass doživel pomemben varnostni incident, pri katerem so napadalci ukradli različne podatke uporabnikov iz strežnikov podjetja.
Več