Уязвимость, найденная в коде шифровальщика Jaff, позволила исследователям создать утилиту для расшифровки зараженных файлов.

«Мы нашли уязвимость в коде зловреда Jaff, актуальную для всех существующих версий трояна. Благодаря этому, нам удалось создать декриптор, который поможет жертвам вернуть зашифрованные данные бесплатно. Улитита работает с файлами, расширение которых .jaff, .wlu, или .sVn», — отметил специалист по безопасности Лаборатории Касперского.

Первое появление шифровальщика Jaff было зафиксировано около месяца назад. Зловред распространялся с помощью печально известного ботнета Necurs, — того же самого, который использовался для распространения других троянов-шифровальщиков, Locky и Dridex. Атака включала в себя массовую спам рассылку. Во вложенный вредоносный pdf-файлом был встроен Word документ, который выполнял функцию загрузчика самого шифровальщика.

Согласно данным исследователей, загрузка зловреда начиналась после того, как пользователь давал разрешение на использование Word-макроса в зараженном PDF. За возвращение доступа к зашифрованным данным злоумышленники требовали выкуп в размере 0,5 – 2 биткоина (1500 – 5000 долл. США по текущему курсу).

Ранее в этом месяце шифровальщик Jaff уже появлялся в новостях, когда исследователи обнаружили, что командный сервер зловреда использует ту же инфраструктуру, что и подпольная торговая площадка, на которой продают данные взломанных банковских аккаунтов и карт.

Согласно данным Лаборатории Касперского основные страны, пострадавшие от трояна-шифровальщика Jaff, это Китай, индия, Россия, Египет и Германия.

Дешифратор для Jaff был добавлен в бесплатную утилиту от Лаборатории Касперского RakhniDecryptor (версия 1.21.2.1).

Лаборатория Касперского выпустила уже более десятка различных декрипторов, помогающих пользователям восстановить зашифрованные данные, для таких троянов как CoinVault, TeslaCrypt, Wildfire и Crybola и многих других. Полный список утилит от Лаборатории Касперского для расшифровки файлов, заблокированных троянами-вымогателями, можно найти на сайте No Ransom.

Категории: вредоносные программы, хакеры

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *