Jaff

Jaff je izsiljevalski virus, ki v okuženem računalniku zašifrira oz. zaklene datoteke, za odklep le-teh pa od uporabnika zahteva plačilo v Bitcoinih. Virus zašifrira oz. zaklene žrtvine datoteke (na primer slike, dokumente, glasbo, posnetke itd.) z mešanico RSA in AES algoritmov. Virus je prepoznaven po tem, da zaklenjenim datotekam doda .jaff končnico. ^[1] Največkrat se prenaša preko elektronske pošte pa tudi preko ponarejenih oglasov, sistemskih zahtevkov in okuženih spletnih strani. ^[2]

Distributer virusa Jaff je Necurs botnet (tj. mreža nadzorovanih računalnikov, ki je namenjena šrijenju zlonamerne programske opreme), odkril ga je varnostni strokovnjak, 11. maja 2017, dan po prej kot je bil odkrit virus WannaCry.^[3]

Način okužbe[uredi | uredi kodo]

Virus Jaff ni več aktualna grožnja, saj so zanj razvili rešitve, je pa deloval po tem principu:

Virus se prenaša preko elektronske pošte oz. prek zlonamerne priponke, ki je PDF dokument, ta pa ima priložen Microsoft Office dokument (DOC dokument), ki vsebuje izvršljivo kodo (makro, tj. vrsta ukazov, s katerim je mogoče avtomatizirati ponavljajoče se opravilo, in ga je mogoče zagnati, ko je treba izvesti opravilo). Če je varnost makrojev primerno nastavljena, je vsebina v Wordovem dokumentu onemogočena, kar onemogoči tudi virus. Če uporabnik vsebino omogoči, se izvede zlonamerna koda, ki se poveže na spletno stran, s katere prenese izvršljivo datoteko imenovano Jaff installer ter jo zažene. Jaff installer šifrira datoteke različnih formatov, na primer .xlsx, .pdf, .crt, .mpeg, .zip, .txt, .jpg, .doc, .docx, .ppt, .pps, .dot, .htm, .html, .pub, .7z, .tar, .csv idr. V mapah, kjer je virus zašifriral datoteke, ustvari tudi 3 datoteke z imeni ReadMe.bmp, ReadMe.txt, ReadMe.html, ki vsebujejo obvestila o 10-mestni dešifrirani ID številki, navodila o namestitvi brskalnika TOR ter naslov do strani v TOR omrežju, kjer lahko žrtev opravi plačilo za pridobitev ponovnega dostopa do datotek. Spletna stran v TOR omrežju zahteva vpis ID številke, ki jo je virus posredoval v datotekah ReadMe. Ko žrtev vnese ID številko, se odpre stran z navodili kako plačati odkupnino, vrednost odkupnine v kripto valuti Bitcoin, podan je tudi naslov elektronske denarnice, na katero se izvede transakcija. Ob plačilu odkupnine, uporabnik dobi dekriptirni ključ, ki odklene zaklenjene datoteke. Znesek plačila je znašal okoli 2,036 Bitcoinov (3200€).^[4][5]

Storilec in žrtve[uredi | uredi kodo]

Raziskovalci virus povezujejo z organizirano kriminalno združbo, ki se ukvarja s krajo bančnih podatkov in računov iz spletnih trgovin kot so PayPal, eBay in Amazon.^[6]

Odstranitev virusa[uredi | uredi kodo]

Virus Jaff je eden izmed izsiljevalskih virusov za katerega so varnostni strokovnjaki razvili rešitev za odstranitev:

Za operacijske sisteme Windows 7 / Vista / XP:

Za odstranitev virusa je potrebno najprej ponovno zagnati napravo (ang. Restart). Ob zagonu naprave mora uporabnik aktivirati funkcijo Napredne možnosti zagona (ang. Advanced Boot Options) in iz seznama izbrati funkcijo Varen način z omrežjem (ang. Safe Mode with Networking).

Za operacijska sistema Windows 10 in Windows 8:

Ob ponovnem zagonu naprave mora uporabnik aktivirati funkcijo Odpravljanje težav (ang. Troubleshoot), nato Napredne možnosti (ang. Advanced Options) in Nastavitve zagona (ang. Startup settings) ter iz seznama izbrati Ponovni zagon (ang. Restart). Ob ponovnem zagonu naprave uporabnik aktivira funkcijo Nastavitve zagona (ang. Startup settings) ter funkcijo Omogočite varen način z omrežjem (ang. Enable Safe Mode with Networking)

Ko uporabnik vzpostavi varen način z omrežjem, se vpiše v okužen račun in zažene spletni brskalnik. Naloži in posodobi zakonito protivohunsko programsko opremo ter odstrani zlonamerne datoteke virusa Jaffa.^[7]

Zaščita[uredi | uredi kodo]

Najbolj učinkovita zaščita podatkov in datotek pred izsiljevalskimi programi, kot je Jaff, je varnostna kopija podatkov na ločenem zunanjem mediju. Sicer pa je potrebno posodabljati operacijski sistem za odpravljanje ranljivosti, imeti naloženo protivirusno programsko opremo, protivohunsko programsko opremo, zaščititi souporabo datotek in biti pozoren pri odpiranju nepoznanih e-naslovov.^[8]

Glej tudi[uredi | uredi kodo]

Jaff ransomware - Demonstration of attack video

Viri[uredi | uredi kodo]

1. ↑ ».Jaff Virus File Ransomware Removal (+File Recovery) - Virus Removal«. Virus Removal (v ameriški angleščini). 11. maj 2017. Pridobljeno 27. januarja 2018.
2. ↑ »'Jaff' Enters the Ransomware Scene, Locky-Style | Forcepoint«. blogs.forcepoint.com (v angleščini). Arhivirano iz prvotnega spletišča dne 27. januarja 2018. Pridobljeno 27. januarja 2018.
3. ↑ Center, SANS Internet Storm. »Jaff ransomware gets a makeover - SANS Internet Storm Center«. SANS Internet Storm Center (v ameriški angleščini). Pridobljeno 27. januarja 2018.
4. ↑ »Izsiljevalski virus Jaff - SI CERT«. SI CERT. 24. maj 2017. Pridobljeno 27. januarja 2018.
5. ↑ ».Jaff Virus File Ransomware – The New Locky?«. The State of Security (v ameriški angleščini). 11. maj 2017. Pridobljeno 29. januarja 2018.
6. ↑ Palmer, Danny. »Jaff ransomware demanding $4,000 to unlock your files? Now you can get them back for free | ZDNet«. ZDNet (v angleščini). Pridobljeno 27. januarja 2018.
7. ↑ »Remove Jaff ransomware / virus (Removal Instructions) - Jun 2017 update« (v ameriški angleščini). Pridobljeno 27. januarja 2018.
8. ↑ »POZOR!!! NOV VIRUS JAFF RAZSAJA PREKO E-POŠTE!«. Pomoč na daljavo. Arhivirano iz prvotnega spletišča dne 28. januarja 2018. Pridobljeno 27. januarja 2018.