Ransomware Jaff

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86146
Inscription : 10 sept. 2005 13:57
Contact :

Ransomware Jaff

Message par Malekal_morte » 11 mai 2017 16:50

Le ransomware Jaff est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) apparu le 11 mai.
Ce dernier utilise les mêmes campagnes de mails malveillants que le ransomware Locky.
Le but est de chiffrer les documents (crypter) et demander une rançon à payer pour récupérer l'accès à ces derniers.

Distribution du Ransomware Jaff

Ce dernier se diffuse à travers des campagne d'emails vérolés, certains contiennent des JavaScript malveillants, d'autres des fichiers PDF malveillants.
Rien de nouveaux donc depuis Le ransomware TeslaCrypt

Exemple d'email malveillant : SCAN, EPSON, etc.
Jaff-ransomware.png
Jaff Ransomware
Le PDF propose d'ouvrir un fichier Word malveillant :
Jaff-ransomware-2.png
Jaff Ransomware
Ce dernier vous indique qu'il faut activer la macro :
Jaff-ransomware-3.png
Jaff Ransomware
Si l'utilisateur active la Macro, le dropper du ransomware Jaff est téléchargé et exécuté :
Jaff-ransomware-4.png
Jaff Ransomware
La vidéo montre la chaîne complète d'un Word malveillants en action :



Exemple de détection VirusTotal :
SHA256: 1be07198c324c9732d4e2676945ec021eeacd78775aea2100f49ca0483d3f901
Nom du fichier : pitupi20.exe.3476.dr
Ratio de détection : 16 / 62
Date d'analyse : 2017-05-11 14:14:34 UTC (il y a 5 minutes)

Antivirus Résultat Mise à jour
Avast Win32:Malware-gen 20170511
Avira (no cloud) TR/Crypt.ZPACK.uirtb 20170511
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20170503
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20170130
DrWeb Trojan.Encoder.11364 20170511
Emsisoft Trojan-Ransom.Jaff (A) 20170511
Ikarus Win32.Outbreak 20170511
Invincea worm.win32.gamarue.ar 20170413
Kaspersky UDS:DangerousObject.Multi.Generic 20170511
Malwarebytes Ransom.Jaff 20170511
Palo Alto Networks (Known Signatures) generic.ml 20170511
Panda Trj/RansomCrypt.E 20170511
SentinelOne (Static ML) static engine - malicious 20170330
Symantec Trojan.Gen.8!cloud 20170511
Webroot W32.Trojan.Gen 20170511
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170511

Exemple de fichiers chiffrés par le Ransomware .wlu

Les fichiers chiffrés (cryptés) par le ransomware Jaff portent l'extension .wlu
Jaff-ransomware-extension-fichier-jaff.png
Jaff Ransomware - note instructions de paiement
Le fichier instruction se nomme Readme.bmp et donne une URL sur le réseau TOR afin d'effectuer les paiements.
En titre on trouve Jaff Decryptor System et un ID à fournir aux pirates.
Jaff-ransomware-extension-fichier-jaff-2.png
Jaff Ransomware - fichiers chiffrés (cryptés) avec extension .jaff
Le fond d'écran est modifié pour afficher aussi la note de paiement :
Jaff-ransomware-extension-fichier-jaff-3.png
Jaff Ransomware - fond d'écran
jaff decryptor system

Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server
in the Internet

You must install Tor Browser: https://www.torproject.org/download/dow ... sy.html.en

After instalation,run the Tor Browser and enter address: http://rktazuzi7hbln7sy.onion/
Follow the instruction on the web-site.

Your decrypt ID: 1831562164
La page Jaff Decryptor System est identique à Locky.
Il s'agit donc d'un clone de Locky.
jaff_Decryptor_system.png
Jaff Decryptor System
locky_tor.jpg
Locky Decryptor System
en vidéo :



Le rançongiciel JAFF n'est pas résident, c'est à dire qu'il ne cherche pas à rester après redémarrage de Windows.
Aucune désinfection n'est à faire.
Toutefois, procédez à un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite, dans le cas où le ransomware a été installé depuis botnet actif.

Récupérer les fichiers .jaff

La récupération des fichiers chiffrés par le ransomware Jaff est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers


Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell

et plus globalement, suivez les conseils de la page : Sécuriser son Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86146
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware Jaff

Message par Malekal_morte » 24 mai 2017 07:57

Nouveau design avec un message en vert sur fond noir "Jaff Decryptor".
L'extension des fichiers chiffrés est aussi passé en .wlu.

Les campagnes d'emails malveillants reviennent aussi fortement : Email malicieux - Ransomware Jaff (ex Locky)
Ransomware-Jaff-Decryptor.png
Jaff Decryptor - Ransomware / Rançongiciel
Ransomware-Jaff-Decryptor.png (7.87 Kio) Consulté 1149 fois
Le fond d'écran de Windows est modifié par Jaff Decryptor :
Ransomware-Jaff-Decryptor-2.png
Jaff Decryptor - Ransomware / Rançongiciel
Jaff Decryptor en vidéo :


Exemple de mails malveillants poussant le rançongiciel Jaff :

Image

Le fichier d'instruction de paiement : README_TO_DECRYPTl.txt

Code : Tout sélectionner

/////////////////////////////////////////////////////////////////////////////////
Files are encrypted!
To decrypt flies you need to obtain the private
key.

The only copy of the private key, which will allow you to decrypt your
files, is located on a secret server
in the Internet.

1.
You must install Tor Browser:
https://www.torproject.org/download/download-easy.html.en

2.
After instalation, run the Tor Browser and enter address:
http://rktazuzi7hbln7sy.onion/

Follow the instruction on the website.

Your decrypt ID: 2690571900

//////////////////////////////////////////////////////////////////////////////
Exemple de détection :
SHA256: 557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835
Nom du fichier : 557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835.exe
Ratio de détection : 26 / 60
Date d'analyse : 2017-05-24 03:38:43 UTC (il y a 1 heure, 59 minutes)

Informations comportementales
Antivirus Résultat Mise à jour
AegisLab Uds.Dangerousobject.Multi!c 20170524
AhnLab-V3 Win-Trojan/Sagecrypt.Gen 20170523
ALYac Trojan.Ransom.Jaff 20170524
Bkav W32.eHeur.Malware12 20170523
CrowdStrike Falcon (ML) malicious_confidence_98% (W) 20170130
DrWeb Trojan.Encoder.11649 20170524
ESET-NOD32 Win32/Filecoder.Jaff.A 20170523
Fortinet W32/Filecoder_Jaff.A!tr 20170524
GData Win32.Trojan.Agent.C5PYQ0 20170524
Ikarus Win32.Outbreak 20170523
Invincea virus.win32.virut.bn 20170519
Kaspersky Trojan-Ransom.Win32.Jaff.g 20170524
McAfee Trojan-FMTJ!0A03C3BDAE43 20170524
McAfee-GW-Edition BehavesLike.Win32.Injector.dh 20170523
Palo Alto Networks (Known Signatures) generic.ml 20170524
Qihoo-360 Win32/Trojan.Multi.daf 20170524
Rising Ransom.FileCryptor!8.1A7 (cloud:oB3GJRSIuJP) 20170524
SentinelOne (Static ML) static engine - malicious 20170516
Sophos Mal/Generic-S 20170524
Symantec Ransom.Locky 20170523
Tencent Win32.Trojan.Win32.Trojan.Filecoder.jaff.supy 20170524
TrendMicro Ransom_CRYPJAFF.ENI 20170524
TrendMicro-HouseCall Suspicious_GEN.F47V0523 20170524
ViRobot Trojan.Win32.Ransom.241664.C[h] 20170524
Webroot W32.Trojan.Gen 20170524
ZoneAlarm by Check Point Trojan-Ransom.Win32.Jaff.g 20170524
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86146
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware Jaff - extension .sVn

Message par Malekal_morte » 08 juin 2017 09:51

Le ransomware Jaff toujours actif.
Quelques changements, avec cette fois-ci une extension en .sVn
Le message est assez identique mais plus d'écriture en vert.
Le fond d'écran est modifié, pas de version HTML ou image
Ransomware-Jaff-extension-sVn.png
Ransomware Jaff - Extension .sVn
Ransomware-Jaff-extension-sVn-2.png
Ransomware Jaff - Extension .sVn
/////////////////////////////////////////////// Your decrypt ID: 4191883367

Files are encrypted!
To decrypt flies you need to obtain the private
key.

The only copy of the private key, which will allow you to decrypt your
files, is located on a secret server
in the Internet.

Use this Link: http://rktazuzi7hbln7sy.tor2web.cf


If the link does not work:

1.
You must install Tor Browser:
https://www.torproject.org/download/dow ... sy.html.en

2.
After instalation, run the Tor Browser and enter address:
http://rktazuzi7hbln7sy.onion/

Follow the instruction on the website.

Your decrypt ID: 4191883367

//////////////////////////////////////////////////////////////////////////////
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité