Il ransomware Jaff fu individuato all'incirca a metà Maggio del 2017: la prima campagna di distribuzione fu estremamente virulenta, ma non colpì particolarmente in Italia. Ne sono state messe in diffusione varie versioni, con diverse estensioni di criptazione.
Estensioni di criptazione
V.1--> .jaff
V.2--> .wlu
V.3--> .sVn
Come si diffonde?
Jaff è stato diffuso, in tutte le sue versioni, tramite email di spam originate, per quanto riguarda la
prima versione, dalla botnet Necurs. In tutti i casi il ransomware è stato distribuito tramite email con false fatture in pdf. I nomi degli allegati sono stati vari, i più diffusi sono statiCopy_[Random Numbers]
Document_[Random Numbers]
Scan_[Random Numbers]
File_[Random Numbers]
PDF_[Random Numbers]
Invoice[Random Numbers]
Invoice(Random Numbers-Random Numbers)
Quando la vittima apre il PDF, visualizzerà un prompt che chiede di aprire un documento DOCM collegato al PDF.
Il documento chiede quindi a sua volta l'abilitazione di una macro.
Fatto ciò, la macro si eseguirà, scaricherà una copia dell'eseguibile del ransomware e lo avvierà. Il ransomware quindi contatterà il proprio server C&C, ma comunicherà solo che una nuova vittima è stata colpita: il server C&C risponde con la sola parola "Created". Nessuna altra informazione viene trasmessa tra il server C&C e la vittima.
Jaff bersaglia oltre 200 diversi tipi di file e li cripta usando l'algoritmo AES.
La nota di riscatto
Le note di riscatto sono variate da versione a versione, così come la quantità di bitcoin richiesti (la prima versione chiedeva 1 Bitcoin).
V.1
ReadMe.bmp
ReadMe.html
ReadMe.txt
V.2
README_TO_DECRYPTl.txt
README_TO_DECRYPTl.bmp
README_TO_DECRYPT.html
V.3
!!!README_FOR_SAVE FILES.txt
!!!SAVE YOUR FILES.bmp.
Jaff è ora risolvibile
Alcuni ricercatori hanno individuato una falla nell'algoritmo di criptazione. Il tool è disponibile e può risolvere quasi tutti i casi di criptazione. Per procedere ad analisi dei file e a test del tool è possibile scrivere alla mail alessandro@nwkcloud.com
Nessun commento:
Posta un commento