بدافزارها

باج افزار Jaff
۹ آبان ۱۳۹۶

باج افزار Jaff

در ماه می ۲۰۱۷، باج افزار Jaff برای اولین بار شناسایی شد. علت این نام‌گذاری پسوندی است که این باج افزار برای فایل‌هایی که رمزگذاری می‌نماید، انتخاب می‌کند. البته در نسخه‌های بعدی باج افزار Jaff، از پسوند Wlu نیز استفاده کرد. سازندگان باج افزار Jaff هم هرزنامه را به عنوان راه ورودشان استفاده کرده‌اند. انتشار این هرزنامه‌ها از طریق کمپین Malspam صورت می‌پذیرد. کمپینی که انتشار دو بدافزار معروف Locky و Dridex را قبل از این در کارنامه‌ی خود دارد. کمپین Malspam کار انتشار هرزنامه‌ها را از طریق botnetای معروف به نام Necrus انجام می‌دهد.

 

نحوه انتشار باج افزار Jaff

سازندگان باج افزار‌ها اصولا با استفاده از مهندسی اجتماعی و ترغیب کاربر به بازگشایی هرزنامه‌های ارسالی، اهداف خود را عملی می‌نمایند. هرزنامه‌هایی که کمپین Malspam برای انتشار باج افزار Jaff استفاده می‌کند با عنوان صورت حساب ارسال می‌شوند. در عنوان، کلمه‌ی صورت حساب و یک عدد تصادفی وجود دارد. این هرزنامه حاوی یک فایل PDF است که عنوان آن یک عدد تصادفی است. زمانی که فایل PDF توسط قربانی باز می‌شود. پیغامی مبنی بر کسب اجازه از کاربر برای باز کردن یک فایل .docm نمایش داده می‌شود. کاربران کنجکاو و آموزش ندیده در اکثر موارد موافقت کرده و فایل word را باز می‌کنند. یک ماکرو آلوده به این فایل word تزریق شده است. اما به صورت پیش فرض اجرای ماکرو در تنظیمات پیش فرض مایکروسافت بسته است. باز هم نیاز به اجازه‌ی کاربر برای تغییر تنظیمات امنیتی هست و با موافقت کاربر ماکرو آلوده اجرا می‌گردد.

عناوین این هرزنامه ها اصولا صورت حساب و یک عدد تصادفی می‌باشد. برخی از این عناوین را در می‌توانید در شکل زیر مشاهده نمایید. زمانی که قربانی با توجه به عنوان رایانامه‌ ، گمان می‌نماید که صورت حساب دریافت کرده و  آن را باز می‌نماید.

نمونه‌هایی از هرزنامه‌های ارسالی باج افزار Jaff

نمونه‌هایی از هرزنامه‌های ارسالی باج افزار Jaff

ترافیک آلوده

ترافیکی که باج افزار Jaff در مقایسه با سایر باج افزارها تولید می‌کند بسیار کم است. ماکرو آلوده زمانی که اجرا می‌گردد یک URL برای بارگذاری  Jaff و بعد از آلودگی یک URL برای برگشت تماس  از سمت سیستم آلوده شده، می‌سازد. درخواست HTTP اولیه برای Jaff هم یک باینری ‌که با رشته‌ی اسکی XOR، I6cqcYo7wQ شده است را بازمی‌گرداند.

کاربر آلوده

بعد از بارگذاری باینری کد شده‌ای که توضیح دادیم در مسیر AppData\Local\Temp  به نام lodockap8 ذخیره می‌شود. سپس رمزگشایی شده و با نام levinsky8.exe  در همان مسیر ذخیره می‌گردد. این نام هر روز با آمدن موج جدیدی از هرزنامه تغییر می‌یابد.

پیشنهادهایی برای پیشگیری از آلودگی به باج افزار Jaff

  • از یک ضد ویروس معتبر استفاده نمایید
  • اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:
    • System Watcher کسپرسکی را فعال نمایید.

      زیرا در صورت فعال بودن، System Watcher از ایجاد هرگونه تغییر ناخواسته‌ای جلوگیری می‌کند. در نتیجه System Watcher از رمز شدن فایل‌های سیستم هم جلوگیری می‌کند، حتی در زمان‌هایی که بدافزاری که اقدام به رمز نمودن فایل‌ها نموده است در پایگاه داده کسپرسکی وجود نداشته باشد.

  • کاربران خود را آموزش دهید. بسیاری از طراحان باج افزار از هرزنامه‌ها به عنوان نقطه‌ی ورودی استفاده نموده و از ناآگاهی کاربران سو‌استفاده می‌نمایند.
  • از آخرین اخبار آسیب‌پذیری‌ها آگاه باشید و به روزرسانی‌ها را جدی بگیرید.
  • در تنظیمات Office اجرای ماکرو را غیر فعال نمایید.

در صورتی که سیستم شما به باج افزار Jaff آلوده شد، برای بازگشایی فایل‌های رمز شده می‌توانید از رمز‌گشای کسپرسکی استفاده نمایید.

آرمان داده پویان نماینده رسمی کسپرسکی در ایران


تازه ترین ها