martedì 20 giugno 2017

Risolvibile il ransomware Jaff


Il ransomware Jaff fu individuato all'incirca a metà Maggio del 2017: la prima campagna di distribuzione fu estremamente virulenta, ma non colpì particolarmente in Italia. Ne sono state messe in diffusione varie versioni, con diverse estensioni di criptazione.

Estensioni di criptazione
V.1--> .jaff
V.2--> .wlu
V.3--> .sVn

Come si diffonde?
Jaff è stato diffuso, in tutte le sue versioni, tramite email di spam originate, per quanto riguarda la
prima versione, dalla botnet Necurs. In tutti i casi il ransomware è stato distribuito tramite email con false fatture in pdf. I nomi degli allegati sono stati vari, i più diffusi sono stati

Copy_[Random Numbers]
Document_[Random Numbers]
Scan_[Random Numbers]
File_[Random Numbers]
PDF_[Random Numbers]
Invoice[Random Numbers]
Invoice(Random Numbers-Random Numbers)


Quando la vittima apre il PDF, visualizzerà un prompt che chiede di aprire un documento DOCM collegato al PDF. 


Il documento chiede quindi a sua volta l'abilitazione di una macro. 


Fatto ciò, la macro si eseguirà, scaricherà una copia dell'eseguibile del ransomware e lo avvierà. Il ransomware quindi contatterà il proprio server C&C, ma comunicherà solo che una nuova vittima è stata colpita: il server C&C risponde con la sola parola "Created". Nessuna altra informazione viene trasmessa tra il server C&C e la vittima.

Jaff bersaglia oltre 200 diversi tipi di file e li cripta usando l'algoritmo AES.

La nota di riscatto
Le note di riscatto sono variate da versione a versione, così come la quantità di bitcoin richiesti (la prima versione chiedeva 1 Bitcoin).

V.1
ReadMe.bmp
ReadMe.html
ReadMe.txt

V.2
README_TO_DECRYPTl.txt
README_TO_DECRYPTl.bmp
README_TO_DECRYPT.html

V.3
!!!README_FOR_SAVE FILES.txt
!!!SAVE YOUR FILES.bmp.

Jaff è ora risolvibile
Alcuni ricercatori  hanno individuato una falla nell'algoritmo di criptazione. Il tool è disponibile e può risolvere quasi tutti i casi di criptazione. Per procedere ad analisi dei file e a test del tool è possibile scrivere alla mail alessandro@nwkcloud.com

Nessun commento:

Posta un commento