DE|EN

Das Schreckgespenst Erpressungstrojaner Jaff ist entzaubert

Das Sicherheitsteam bei Kaspersky hat mittlerweile eine Schwachstelle im Code der Ransomware Jaff feststellen können. Mit einem am 15.05. veröffentlichten Entschlüsselungstool können betroffene Opfer ihre Daten wieder entschlüsseln.

Entschlüsselungstool RakhniDecryptor

Wie berichtet kursiert im Internet seit Mai 2017 ein neuer Lösegeld-Trojaner namens Jaff, die auf Windows-Systemen gefundene Dateien verschlüsselt und vorgibt, eine Entschlüsselung nur gegen Geldzahlungen wieder zu ermöglichen.

Das Sicherheitsteam von Kaspersky hat mit der Veröffentlichung eines kostenlosen Entschlüsselungstool dieses Schreckgespenst bereits wieder entzaubert. Möglich wurde die Entwicklung des auf den Namen RakhniDecryptor getaufte Entschlüsselungstool durch die Aufdeckung einer Schwachstelle des Trojaner-Codes durch einen aufmerksamen Kaspersky-Experten.
Wo und worin genau der Programm-Code seine Archillesferse hat, wird derzeit von Kaspersky noch nicht publiziert.

Wer also keine Backups seiner Dateien hat und auch kein Lösegeld zahlen möchte, was sowieso naiv wäre, der findet das Tool hier kostenlos zum Download bereit.

RakhniDecryptor in der aktuellen Version 1.21.2.1 soll in der Lage sein, alle sich im Umlauf befindlichen Jaff-Versionen wieder knacken zu können. Konkret sprechen wir hier von verschlüsselten Dateien mit den Endungen .jaff, .wlu respektive .sVn.

Sobald die Opfer das Programm mittels eines Archivierungsprogramms (z.B. 7zip) entpackt und gestartet haben, wird der Scan-Prozeß mit einem Klick auf "Start Scan" eingeleitet. Anschließend muss der Pfad zu einer der verschlüsselten Dateien und der Erpresserbotschaft ausgewählt werden.
Zusätzlich kann man bestimmen, welche Festplatten und Netzwerk-Freigaben in den Scan miteinbezogen werden sollen.
Zusätzlich erhält man die Option, die verschlüsselten Dateien nach der Entschlüsselung sofort zu löschen. Das ist per Default deaktiviert, was auch Sinn macht. Denn sollte die Entschlüsselung fehlerbehaftet sein oder aus anderem Grund misslingen, wären die Dateien mit aktivierter Option endgültig verloren.

Besser ist in diesem Fall die Anwendung des Tools CryptoSearch unter Windows. Mit diesem Tool kann man über die Festplatten verstreute verschlüsselte Dateien wiederfinden und gezielt in einem Verzeichnis abspeichern.
Ausführlichere Informationen zur Benutzung seines Entschlüsselungstool bietet Kaspersky ebenfalls an.