Уязвимость, найденная в коде шифровальщика Jaff, позволила исследователям создать утилиту для расшифровки зараженных файлов.

«Мы нашли уязвимость в коде зловреда Jaff, актуальную для всех существующих версий трояна. Благодаря этому, нам удалось создать декриптор, который поможет жертвам вернуть зашифрованные данные бесплатно. Улитита работает с файлами, расширение которых .jaff, .wlu, или .sVn», — отметил специалист по безопасности Лаборатории Касперского.

Первое появление шифровальщика Jaff было зафиксировано около месяца назад. Зловред распространялся с помощью печально известного ботнета Necurs, — того же самого, который использовался для распространения других троянов-шифровальщиков, Locky и Dridex. Атака включала в себя массовую спам рассылку. Во вложенный вредоносный pdf-файлом был встроен Word документ, который выполнял функцию загрузчика самого шифровальщика.

Согласно данным исследователей, загрузка зловреда начиналась после того, как пользователь давал разрешение на использование Word-макроса в зараженном PDF. За возвращение доступа к зашифрованным данным злоумышленники требовали выкуп в размере 0,5 – 2 биткоина (1500 – 5000 долл. США по текущему курсу).

Ранее в этом месяце шифровальщик Jaff уже появлялся в новостях, когда исследователи обнаружили, что командный сервер зловреда использует ту же инфраструктуру, что и подпольная торговая площадка, на которой продают данные взломанных банковских аккаунтов и карт.

Согласно данным Лаборатории Касперского основные страны, пострадавшие от трояна-шифровальщика Jaff, это Китай, индия, Россия, Египет и Германия.

Дешифратор для Jaff был добавлен в бесплатную утилиту от Лаборатории Касперского RakhniDecryptor (версия 1.21.2.1).

Лаборатория Касперского выпустила уже более десятка различных декрипторов, помогающих пользователям восстановить зашифрованные данные, для таких троянов как CoinVault, TeslaCrypt, Wildfire и Crybola и многих других. Полный список утилит от Лаборатории Касперского для расшифровки файлов, заблокированных троянами-вымогателями, можно найти на сайте No Ransom.

Категории: Вредоносные программы, Хакеры