Elimină virusul Jaff (Instrucţiuni de înlăturare) - actualizare mai 2017

Ce este Virusul de tip ransomware Jaff?

Ransomware-ul Jaff se răspândeşte prin intermediul lui Necurs, criptează fişierele şi cere 2 BTC în schimbul software-ului de decriptare

Ransomware-ul Jaff este un cripto-malware, distribuit prin intermediul botnet-ului Necurs . Umbra sarcinei utile maliţioasă ajunge ca şi email care include ataşamente PDF. Imediat după ce oamenii deschid acest fişier, va încărca un document MS Word care cere activarea macro-urilor pentru a vedea conţinutul documentului. Dacă o persoană urmează instrucţiunile, malware-ul este lăsat şi activat în sistem. În dispozitivul afectat, Jaff începe procedura de criptare a datelor şi ţinteşte în jur de 424 de tipuri diferite de fişiere. Foloseşe o combinaţie între algoritmii de criptare RSA şi AES şi adaugă extensia .jaff fiecărui fişier criptat. După criptarea datelor, lasă trei fişiere noi: ReadMe.bmp, ReadMe.txt şi ReadMe.html. Imaginea fişierului este setată ca şi wallpaper în calculatorul afectat, şi informează despre atacul lui Jaff Decryptor System. Celelalte două fişiere includ mesajul de cerere a recompensei unde victimelor li se cere să transfere 2 Bitcoins pentru recuperarea datelor. Cu toate acestea, achiziţionarea decriptorului de la criminalii cibernetici poate duce la pierderea banilor. După atacul ransomware-ului ar trebui să vă concentraţi doar asupra eliminării virusului. Atât timp cât malware-ul se află în sistem, calculatorul şi intimitatea dumneavoastră se află în risc. Deci, eliminaţi ransomware-ul Jaff cu ajutorul unui program reputabil de eliminare malware, precum FortectIntego. Doar după asta puteţi căuta soluţii de recuperare a datelor.

Ransomware-ul Jaff este similar cu viruşii Locky şi Dridex deoarece foloseşte acelaşi spam maliţios pe nume Necurs ca şi metodă principală de distribuţie. Totuşi, acest malware nu este asociat acestor infecţii cibernetice. Criminalii cibernetici doar au adaptat unele funcţii ale proiectelor ransomware de succes. După cum am menţionat deja, email-ul infectat poartă un fişier PDF care deschide un fişier DOCM. După ce victima apasă pe „Enable Content”, acesta activează programul maliţios. După, malware-ul începe să colecteze informaţii despre victimă şi descarcă diverse fişiere care sunt necesare pentru a executa şi rula malware-ul Jaff. Atunci când un virus de criptare fişiere este executat, acesta se va conecta la serverul lui de Comandă şi Control, şi îi va informa despre un dispozitiv nou atacat. Serverul C2 răspunde cu cuvântul „Created” şi malware-ul începe procedura de criptare a datelor. Foloseşte cifrii AES şi RSA pentru a corupe majoritatea tipurilor de fişiere salvate în calculator. Stă departe doar de fişierele de sistem şi alte date importante care sunt necesare pentru rularea calculatorului. De asemenea, Jaff a fost proiectat să şteargă Shadow Volume Copies ale fişierelor ţintite executând comanda vssadmin.exe delete shadows /all /Quiet pentru a face aproape imposibilă recuperarea datelor fără o cheie anume de decriptare. Malware-ul lasă note de recompensă în fiecare dosar care conţine fişiere afectate, unde criminalii explică modul în care se poate obţine cheia de decriptare.

Mesajul în care se cere recompensa include şi ID-ul unic al victimei, şi oferă un link către un website de plată, ce poate fi accesat doar prin intermediul browserului Tor. Site-ul de plată seamănă cu cel al lui Locky. Include informaţii despre cum puteţi cumpăra Bitcoin şi cum le puteţi transfera la adresa oferită pentru a obţine cheia de decriptare. Imediat după ce ransomware-ul Jaff a fost observat cere o plată de 1.82 BTC; totuşi, cea mai nouă versiune a acestuia cere transferul a 2 BTC. Din nefericire, nu există vreo garanţie precum că criminalii cibernetici vă vor oferi accesul la decriptorul Jaff. Aceştia sunt interesaţi doar de banii dumneavoastră. Deci, nu ar trebui să riscaţi să pierdeţi 3000 de dolari şi să aveţi de a face cu persoane dubioase. Cu toate acestea, dacă aveţi copii de rezervă, vă puteţi numi norocos deoarece este singurul mod prin care vă puteţi restaura fişierele. În mod contrar, şansele de a vă primi fişierele înapoi sunt mici, însă această situaţie nu ar trebui să vă motiveze să plătiţi recompensa. În loc să pierdeţi mii de dolari, ar trebui să vă concentraţi asupra eliminării lui Jaff. Atunci când calculatorul nu mai are vreun virus, puteţi încerca alte metode de recuperare şi restaurare a unor fişiere sau să aşteptaţi până când este lansat un decriptor oficial.

Virusul Jaff este executat în sistem imediat după ce o persoană deschide ataşamentul maliţios al unui email.

Analizarea distribuţiei de ransomware


Virusul Jaff utilizează botnet-ul Necurs pentru a răspândi email-uri spam maliţioase cu un document PDF infectat. După cum am menţionat deja, această tehnică a fost utilizată pentru a-l distribui pe Locky. Email-ul de tip phishing are ca şi subiect unul dintre aceste cuvinte urmat de numere la întâmplare: Fişier, Document, Copie, Scan sau PDF. De exemplu, email-ul maliţios poate avea ca şi subiect linia „Fişier_123456”. Scrisoarea include un ataşament PDF numit „nm.PDF” şi poate oferi numeroase motive pentru care utilizatorii să îl deschidă. De exemplu, o campanie spam pur şi simplu cerea printarea a două copii a acelui fişier. . Dacă un utilizator este convins să îl deschidă, fişierul PDF va deschide un document Word care cere activarea funcţiei macro. În funcţie de versiunea de PDF instalată în dispozitivul atacat, fişierul poate deschide un fişier DOCM automat, sau poate cere unui utilizator să îl deschidă. Imediat după ce fişierul este deschis, va livra un mesaj precum că documentul este protejat şi că utilizatorul trebuie să apase pe butonul „Enable Content”. Butonul ascunde o comandă macro maliţioasă care este proiectată pentru a contacta serverul de Comandă şi Control pentru a descărca fişierele necesare ransomware-ului pentru a executa Jaff Decryption System. Deci, dacă nu vă aşteptaţi să primiţi vreun document sau fişier, nu ar trebui să deschideţi un ataşament suspicios al unui email. Înainte de a deschide fişierele ataşate, trebuie să vă asiguraţi că îl cunoaşteţi pe expeditor şi că puteţi avea încredere în el / ea. . În mod contrar, ştergeţi imediat email-ul.

Ransomware-ul Jaff poate fi distribuit şi prin intermediul reţelelor sociale şi a site-urilor de răspândire fişiere. Deci, este posibil să primiţi un link de la un prieten (sau persoană necunoscută) care vă sugerează să vizualizaţi un video sau o imagine. Înainte de a apăsa pe astfel de link-uri ar trebui să vă asiguraţi că este sigur să le deschideţi. De exemplu, puteţi să întrebaţi prietenul dacă el vi l-a trimis. Mai mult, malware-ul poate fi promovat ca şi un program util pe diverse reţele P2P. Dacă trebuie să instalaţi un program anume, ar trebui să evitaţi site-urile de descărcare necunoscute. Tot timpul selectaţi website-urile oficiale ale dezvoltatorilor sau autorilor, pentru a preveni instalarea programelor maliţioase.

Eliminaţi complet din dispozitiv virusul de tip ransomware Jaff

Singurul mod sigur de a-l elimina pe Jaff din dispozitiv este prin rularea unei scanări complete a sistemului cu un program de eliminare malware. Dorim să vă descurajăm din a încerca să ştergeţi manual ransomware-ul deoarece este posibil să fi injectat procesele de sistem legitime şi să fi modificat regiştrii din Windows. Deci, puteţi cauza mai multe probleme oprind neintenţionat procese sau prin ştergerea unor intrări de sistem cruciale. Nu ezitaţi şi instalaţi FortectIntego, SpyHunter 5Combo Cleaner sau un alt program de eliminare malware. Dacă nu puteţi face acest lucru, porniţi calculatorul în Safe Mode with Networking după cum este arătat în instrucţiunile de mai jos. După, veţi putea instala un program de securitate şi să îl eliminaţi automat pe Jaff. Imediat după ce calculatorul este liber de viruşi, puteţi restaura fişierele din copii de rezervă sau să încercaţi alte metode de recuperare.