Nova verzija ransomwarea Jaff, prepoznatljivog po ekstenziji .sVn, širi se spam emailovima

Opisi virusa, 13.06.2017, 01:00 AM

Bezbednosni istraživač Derek Najt upozorio je prošle nedelje na novu spam email kampanju koja je u funkciji širenja nove verzije ransomwarea Jaff.

Spam emailovi su predstavljeni kao emailovi sa lokalne mašine za kopiranje. Ovi emailovi, u kojima se krije malver, naslovljeni su sa Message from KM_224e, a ZIP fajl u prilogu nosi naziv SKM_C224e54955163156.zip ili sličan tome. U ZIP fajlu se nalazi izvršni fajl.

Kada se pokrene, izvršni fajl šifruje fajlove na inficiranom računaru i dodaje im ekstenziju .sVn. To znači da će fajl nazvan "test.jpg" posle enkripcije nositi naziv "test.jpg.sVn".

Kada završi sa enkripcijom, Jaff prikazuje poruku o otkupnini koja sadrži uputstvo za žrtve kako da plate otkupninu. Uptutsvo se nalazi u dva fajla sa nazivima !!!README_FOR_SAVE FILES.txt" i "!!!SAVE YOUR FILES.bmp".

U ovom trenutku nema načina da žrtve besplatno dešifruju fajlove sa ekstenzijom .sVn..

Jedini način da žrtve dođu do svojih fajlova je backup, a srećnici možda mogu da vrate fajlove pomoću Shadow Volume Copies. Iako Jaff pokušava da ukloni Shadow Volume kopije, u retkim slučajevima infekcije to se ne dešava.

Zato ako nemate backup, probajte da vratite fajlove iz Shadow Volume kopija.