Error: no file object

Lösegeld-Trojaner Jaff in neuen Kleidern unterwegs

Seit Mai 2017 tritt eine neue Variante der Jaff-Ransomware in Erscheinung, die von den Sicherheitsexperten Brad Duncan und Marcelo Rivero aufgedeckt wurde.Hierbei wurde das Design für die Lösegeld-Erpressung verbessert und die verschlüsselten Dateien enthalten die Dateiendung „.wlu“.

Linux-Support, Linux-Experte, IT-Security-Experte, Jaff-Ransomware

Ebenfalls wie die erste Version von Jaff wird die jetzt neuentdeckte Jaff-Version nach wie vor auf dem Weg der MALSPAM-Kampagnen verteilt, die schädliche Dokumente und Macros zum Herunterladen und Installieren von Ransomware nutzen. Die neue Version erscheint jetzt mit dem Titel „JAFF DECRYPTOR“ und sieht danach aus, dass der „professionelle“ Design-Relaunch die Folge bisher erfolgreicher Kampagnen ist.

Betroffen sind in erster Linie Windows-Plattformen, da der Trojaner auf die Word-Makros abzielt und sich von dort aus den Weg auf dem Dateisystem des Computers sucht. Mittlerweile infizieren sich deutschlandweit täglich inzwischen gehäuft Windows-Rechner dem Trojaner Jaff wie das LKA von Niedersachsen inzwischen warnt.

Das Szenario ist eine Verschlüsselung von Dateien und die Forderung für den Entschlüssungscode in Höhe von etwa 2 Bitcoins, nach aktuellem Kurs entspräche das 4.416,00 EUR. Leicht verdientes Geld für die Hintermänner und ein teurer Spaß für alle die, die zu unvorsichtig und hastig reagieren bzw. sich nicht abgesichert haben.

Wie erwähnt, setzen die Drahtzieher hinter Jaff auf gefälschte E-Mails, die eine vermeintliche, aber noch nicht beglichene Rechnung im Anhang haben. Im Gegensatz zu früheren Kampagnen befindet sich allerdings statt einem präparierten Word-Dokument eine manipulierte PDF-Datei im Anhang.

Das heißt also, wer sich von der E-Mail täuschen lässt, hat noch eine Chance, sofern er oder sie sich achtsam verhalten. Denn das Öffnen der PDF-Datei initialisiert eine Sicherheitswarnung des PDF-Readers, der man erst zustimmen muss, um die Datei vollends zu öffnen. Bis hier her ist also noch gar nichts Kompromittierendes geschehen. Sollte man jedoch die Sicherheitswarnung mit dem Klick auf „Ok“ abnicken, dann wird das Word-Dokument mit den Makros extrahiert und mit Word gestartet.Allerdings muss das Opfer jetzt auch noch der Aktivierung der Makros zustimmen. Erst wenn dieser Hürde zugestimmt wurde, dann findet die Infektion mit Jaff statt, sofern eine aktive Verbindung zum Internet besteht. Denn erst jetzt wird eine Kopie der Ransomware auf den infizierten Computer heruntergeladen und auf diesem ausgeführt.

Sobald die Ransomware ausgeführt wird, scannt sie Ihren Computer nach gezielten Dateitypen und verschlüsselt sie mit AES-Verschlüsselung. Die aktuelle Liste der gezielten Dateierweiterungen lautet:

.001, .002, .004, .005, .006, .007, .008, .009, .010, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .7ZIP, .MPEG, .aac, .ab4, .accdb, .accde, .accdt, .acd, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .aif, .aiff, .ait, .aoi, .apj, .arw, .as4, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .cad, .cbr, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .dat, .db3, .db_journal, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .deb, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dsr, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erd, .exf, .fdb, .ffd, .fff, .fhd, .fif, .fla, .flac, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hdr, .hpp, .htm, .html, .ibank, .ibd, .ibz, .ico, .ics, .idf, .idx, .iff, .iif, .iiq, .incpas, .indd, .iso, .java, .jnt, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lit, .log, .lua, .m2ts, .m3u, .m4a, .m4p, .m4v, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mdi, .mef, .mfw, .mid, .mix, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpd, .mpg, .msg, .myd, .ndd, .ndf, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obd, .obj, .obt, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ord, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .p12, .p7b, .p7c, .pab, .pages, .par, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prn, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .qba, .qbb, .qbm, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rpm, .rtf, .rvt, .rw2, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdf, .sitx, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vbox, .vcf, .vdi, .veg, .vhd, .vhdx, .vib, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsc, .vsd, .wab, .wad, .wallet, .wav, .waw, .wb2, .wbk, .wda, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmod, .ycbcra, .zip, .zipx, .zpf

Derzeit ist es nicht möglich, die Jaff Ransomware WLU Variante zu entschlüsseln

Leider ist es nicht möglich, .wlu-Dateien zu entschlüsseln, die von der Jaff Ransomware kostenlos verschlüsselt werden.

Man steht allerdings nicht schutzlos diesem Trojaner gegenüber. Linux- und Mac-Anwender stehen hier sowieso etwas besser da, weil hier andere Sicherheitskonzepte, Dateisysteme und vor allem andere Systemvoraussetzung für ausführbare Software bestehen als bei Windows.
Allerdings gilt es grundsätzlich Sicherungskopien von den wichtigsten Daten zu machen und sich ein Konzept für Tagesbackups auf externen Datenträgern einrichten, die nach der Sicherung vom produktiven Dateisystem abgehängt werden, so dass kein direkter Zugriff außerhalb des Backup-Prozesses möglich ist.

Das gilt auch für Linux- und Mac-Anwender. Und vor allem aber sollte man zuerst denken, ob man denn eine Rechnung erwartet. Und eine Rechnung heißt noch lange nicht, dass man sofort reagieren muss. Also besteht immer noch Zeit, sich erst einmal den Absender der Mail genauer an zu sehen und vielleicht telefonisch nachzufragen.

Also Tages-Backups sind immer die beste Absicherung. Aber auch Windows-Anwender ohne Backup können aufatmen, wenn Sie die sogenannten Volumenschattenkopien (Volume Shadow Copy Service) unter Windows (ab Version XP aufwärts) nutzen. Damit werden verschiedene Versionsstände (sogenannte Snapshots) von Dateien und Verzeichnissen im Rahmen der Festplattenkapazität zur Verfügung gestellt. Die Einrichtung und Vorgehensweise bei VVS beschreibt dieser TechNet-Artikel ausführlich.