Pozor! Preko elektronske pošte se širi nov izsiljevalski virus

Virus Jaff je še eden v množici izsiljevalskih kripto virusov (ransomwareov). Odkupnina za šifrirni ključ znaša približno 780 EUR, virus pa se širi preko elektronske pošte. Okužba je sicer mogoča le, če zaženete okuženo datoteko.





Na SI-CERTu so včeraj obravnavali primer okužbe z izsiljevalskim virusom po imenu Jaff, ki zašifrira datoteke z AES algoritmom, ter datotekam doda .jaff končnico. V večini primerov se virus širi preko elektronske pošte, ki vsebuje pdf priponko. Previdnost pri odpiranju datotek, ki so prišla iz neznanih elektronskih sporočil ne bo odveč, saj se še zelo dobro spomnimo nedavnega virusa po imenu WannaCry.

Kako poteka zadeva?

Priložen pdf dokument vsebuje obvestilo, da je potrebno odpreti priloženo *.docm datoteko, ki je Microsoft Office dokument in vsebuje izvršljivo kodo (makro). S klikom na PWEXZPW.docm se ta datoteka shrani na računalnik. Ko jo zaženemo, se odpre kot Wordov dokument. Če je varnost makrojev primerno nastavljena, potem vas Word opozori, da je vsebina onemogočena. O tem opozarja tudi vsebina samega dokumenta, ter razlaga, da je potrebno za prikaz omogočiti vsebino.

Vsebina v dokumentu se s tem, ko kliknemo omogoči vsebino (ang. “Enable Content”), nič ne spremeni, se pa izvede zlonamerna makro koda, ki se poveže na spletno stran, s katere prenese izvršljivo (.exe) datoteko (Jaff installer) in jo zažene.

Jaff installer nato začne s šifriranjem datotek različnih končnic, med njimi najbolj znane .xlsx, .pdf, .crt, .mpeg, .zip, .txt, .jpg, .doc, .docx, .ppt, .pps, .dot, .htm, .html, .pub, .7z, .tar, .csv ter druge. Novo kreirani dokumenti tako dobijo dodano končnico .jaff. To pomeni, da so kriptirani.

Virus med postopkom šifriranja v vsaki mapi, kjer je zašifriral datoteke, kreira 3 datoteke in sicer ReadMe.bmp, ReadMe.txt in ReadMe.html. Tovrstna obvestila vsebujejo 10-mestno dešifrirno ID številko, navodilo o namestitvi TOR brskalnika ter naslov do strani v TOR omrežju, kjer lahko žrtev opravi plačilo.

Prikazan primer izsiljevalskega virusa Jaff je prva verzija virusa, so pa pri SI-CERTu že zasledili drugo verzijo, ki zašifriranim datotekam doda končnico *.wlu, spremenjen pa je tudi grafični vmesnik za prikaz obvestila. Sam postopek okužbe je pri novi verziji virusa ostal enak.

V času pisanja članka še ni na voljo orodje, s katerim bi lahko restavrirali šifrirane datoteke, zato se lahko zanesete le na ustrezno izdelane varnostne kopije. Te morajo biti varno shranjene in ločene od omrežja.

Vir.: Si-Cert

Klik >>