Összefoglaló
A Necurs botnet által, e-mailben terjed egy új, “Jaff” nevű zsarolóvírus.
Leírás
Az e-mail mellékletként csatolt, fertőzött PDF tartalmazza azt a beágyazott DOCM fájlt, amely makrója letölti és futtatja a vírust. 423 különböző kiterjesztésű fájlt képes titkosítani, ehhez a művelethez nem szükséges internetkapcsolat. A titkosítást követően a fájlok “.jaff” kiterjesztést kapnak és a vírus minden érintett mappába bemásolja a ReadMe.bmp, ReadMe.html és a ReadMe.txt fájlokat. Eközben az Asztal háttérképét is megváltoztatja, amelyen a váltságdíj kifizetésének lépéseit mutatja.
Az e-mail tárgyaként az alábbi formátumú kifejezéseket tüntetik fel:
PDF_ {négy vagy több számjegy}
Scan_{négy vagy több számjegy}
File_{négy vagy több számjegy}
Copy_{négy vagy több számjegy}
Document_{négy vagy több számjegy}
Receipt to print
UPDATE: új variáns tűnt fel, mely az alábbiakban különbözik az eredetitől :
Az új variáns is e-mailben terjed, de tárgyként az alábbiak szerepelnek (a számok véletlenszerűen generálódnak):
Copy of Invoice 99483713
Invoice(58-0710)
A titkosítás során a fájlok kiterjesztését .WLU-ra módosítja. A dekódolás lépéseit fekete alapon zöld szöveget tartalmazó háttérkép és HTML oldal mutatja.
Támadás típusa
RansomwareHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blogs.forcepoint.com
Egyéb referencia: www.bleepingcomputer.com