Összefoglaló
A Necurs botnet által, e-mailben terjed egy új, “Jaff” nevű zsarolóvírus.
Leírás
Az e-mail mellékletként csatolt, fertőzött PDF tartalmazza azt a beágyazott DOCM fájlt, amely makrója letölti és futtatja a vírust. 423 különböző kiterjesztésű fájlt képes titkosítani, ehhez a művelethez nem szükséges internetkapcsolat. A titkosítást követően a fájlok “.jaff” kiterjesztést kapnak és a vírus minden érintett mappába bemásolja a ReadMe.bmp, ReadMe.html és a ReadMe.txt fájlokat. Eközben az Asztal háttérképét is megváltoztatja, amelyen a váltságdíj kifizetésének lépéseit mutatja.
Az e-mail tárgyaként az alábbi formátumú kifejezéseket tüntetik fel:
PDF_ {négy vagy több számjegy}
Scan_{négy vagy több számjegy}
File_{négy vagy több számjegy}
Copy_{négy vagy több számjegy}
Document_{négy vagy több számjegy}
Receipt to print
UPDATE: új variáns tűnt fel, mely az alábbiakban különbözik az eredetitől :
Az új variáns is e-mailben terjed, de tárgyként az alábbiak szerepelnek (a számok véletlenszerűen generálódnak):
Copy of Invoice 99483713
Invoice(58-0710)
A titkosítás során a fájlok kiterjesztését .WLU-ra módosítja. A dekódolás lépéseit fekete alapon zöld szöveget tartalmazó háttérkép és HTML oldal mutatja.
Támadás típusa
RansomwareHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blogs.forcepoint.com
Egyéb referencia: www.bleepingcomputer.com