Ce dernier utilise les mêmes campagnes de mails malveillants que le ransomware Locky.
Le but est de chiffrer les documents (crypter) et demander une rançon à payer pour récupérer l'accès à ces derniers.
Distribution du Ransomware Jaff
Ce dernier se diffuse à travers des campagne d'emails vérolés, certains contiennent des JavaScript malveillants, d'autres des fichiers PDF malveillants.
Rien de nouveaux donc depuis Le ransomware TeslaCrypt
Exemple d'email malveillant : SCAN, EPSON, etc. Le PDF propose d'ouvrir un fichier Word malveillant :
Ce dernier vous indique qu'il faut activer la macro :
Si l'utilisateur active la Macro, le dropper du ransomware Jaff est téléchargé et exécuté :
La vidéo montre la chaîne complète d'un Word malveillants en action :
Exemple de détection VirusTotal :
SHA256: 1be07198c324c9732d4e2676945ec021eeacd78775aea2100f49ca0483d3f901
Nom du fichier : pitupi20.exe.3476.dr
Ratio de détection : 16 / 62
Date d'analyse : 2017-05-11 14:14:34 UTC (il y a 5 minutes)
Antivirus Résultat Mise à jour
Avast Win32:Malware-gen 20170511
Avira (no cloud) TR/Crypt.ZPACK.uirtb 20170511
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20170503
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20170130
DrWeb Trojan.Encoder.11364 20170511
Emsisoft Trojan-Ransom.Jaff (A) 20170511
Ikarus Win32.Outbreak 20170511
Invincea worm.win32.gamarue.ar 20170413
Kaspersky UDS:DangerousObject.Multi.Generic 20170511
Malwarebytes Ransom.Jaff 20170511
Palo Alto Networks (Known Signatures) generic.ml 20170511
Panda Trj/RansomCrypt.E 20170511
SentinelOne (Static ML) static engine - malicious 20170330
Symantec Trojan.Gen.8!cloud 20170511
Webroot W32.Trojan.Gen 20170511
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170511
Exemple de fichiers chiffrés par le Ransomware .wlu
Les fichiers chiffrés (cryptés) par le ransomware Jaff portent l'extension .wlu
Le fichier instruction se nomme Readme.bmp et donne une URL sur le réseau TOR afin d'effectuer les paiements.
En titre on trouve Jaff Decryptor System et un ID à fournir aux pirates.
Le fond d'écran est modifié pour afficher aussi la note de paiement :
La page Jaff Decryptor System est identique à Locky.jaff decryptor system
Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server
in the Internet
You must install Tor Browser: https://www.torproject.org/download/dow ... sy.html.en
After instalation,run the Tor Browser and enter address: http://rktazuzi7hbln7sy.onion/
Follow the instruction on the web-site.
Your decrypt ID: 1831562164
Il s'agit donc d'un clone de Locky. en vidéo :
Le rançongiciel JAFF n'est pas résident, c'est à dire qu'il ne cherche pas à rester après redémarrage de Windows.
Aucune désinfection n'est à faire.
Toutefois, procédez à un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite, dans le cas où le ransomware a été installé depuis botnet actif.
Récupérer les fichiers .jaff
La récupération des fichiers chiffrés par le ransomware Jaff est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell
et plus globalement, suivez les conseils de la page : Sécuriser son Windows.