A veszélyes Jaff vírus lett a kiberbűnözők kedvenc fegyvere

​A Jaff nevű zsaroló program kihasználta, hogy az elmúlt hetekben a figyelem a WannaCry károkozóra irányult, és fű alatt intenzíven kezdett terjedni.
 

Az elmúlt hetekben a kártékony programok tekintetében egyértelműen a WannaCry zsaroló program került középpontba. Természetesen nem véletlenül, hiszen nagyon komoly károkat okozott világszerte, így Magyarországon is. Miközben azonban a biztonsági szakemberek a WannaCry-ra koncentráltak, és igyekeztek megelőzni vagy felszámolni a károkat (illetve minél hamarabb telepíteni a Windows-os hibajavításokat), aközben egy Jaff nevű zsaroló program alattomos módon kezdett meglehetősen széles körben terjedni.
 
A Palo Alto Networks és a SANS Internet Storm Center biztonsági kutatóinak eddigi vizsgálatai azt támasztották alá, hogy a Jaff a fertőzött számítógépeken legalább akkora rombolásra képes, mint a WannaCry. Ugyanakkor nem kizárólag emiatt kell komolyan venni, hanem azért is, mert több jel utal arra, hogy az új kártevőnek köze lehet azokhoz a kiberbűnözői csoportokhoz, amelyek korábban a hírhedt Locky zsaroló program és a Dridex banki trójai mögött álltak. A kockázatokat tovább tetézi, hogy a Jaff terjesztésébe bekapcsolódott napjaink egyik legnagyobb botnet hálózata, a Necurs is. Mindez azt jelenti, hogy a kiberbűnözés komolyan számol a Jaff adta lehetőségekkel.
 
A zsaroló program eddig feltűnt variánsai kéretlen elektronikus levelek révén terjednek. Ezek az e-mailek a csatolmányukban egy-egy PDF-dokumentumot tartalmaznak, amit több esetben számlának álcáznak a csalók. Amikor a címzett ezt a PDF-fájlt megtekinti, akkor abból megnyílik egy beágyazott Word dokumentum, benne makrókkal. Ha ezek futtatását a felhasználó engedélyezi, akkor a makró egy előre meghatározott kiszolgálóról letölt egy állományt. Ez a fájl XOR-kódolással van ellátva, amihez az „I6cqcYo7wQ” kulcs tartozik. (Nyilván ez a kulcsa az egyes variánsok megjelenésével változhat.) A fájl dekódolását követően a Jaff azonnal elindul, és elkezdi felkutatni a titkosítandó fájlokat. Több mint 400 különféle kiterjesztés szerepel azon a listáján, ami alapján kiválasztja a kompromittálandó állományokat. Amikor pedig végez a rombolással, akkor megjeleníti a zsaroló üzenetét.  
A Jaff első variánsa 2 Bitcoint követel a felhasználótól, és a zsaroló üzenetét tartalmazó ablak, illetve kép nagyon hasonlít a Locky által használt megoldásokhoz. A Jaff újabb variánsai már kevesebbel (0.35630347 Bitcoinnal) is beérik, illetve fekete háttéren, zöld színű karakterekkel jelzik a fertőzés megtörténtét. A korábbi változatok a titkosított fájlokat .jaff kiterjesztéssel látták el, míg a legutóbbi variánsok a .wlu kiterjesztést használják a kompromittált állományok megkülönböztetéséhez.  
A Jaff által tönkretett fájlok dekódolásához jelenleg még nem áll rendelkezésre megfelelő eszköz, ezért ezúttal is a megelőzésre kell helyezni a hangsúlyt. A korszerű, naprakész vírusvédelem mellett a biztonsági mentésekre kell figyelni. Emellett az ismeretlenektől érkező vagy gyanús elektronikus leveleket nagyon körültekintően kell kezelni, a makrókat pedig csak valóban megbízható fájlok esetén szabad engedélyezni.