Jaff Ransomware (Ransom.Jaff, Win32/Filecoder.Jaff.B, Ransom_CRYPJAFF.ENK): E-Mail mit Betreff ‚Order‘ und ‚MX-2310U_20170606_180113.pdf‘ als Anlage
Am Dienstag, den 06. Juni 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die E-Mail lädt vermutlich den Verschlüsselungs- und Erpressungstrojaner „Jaff“ (Ransomware) nach. Öffnen Sie daher nicht die Anlage!
Betreff: Order
Absender: Colette willouby ([email protected])Anlage: MX-2310U_20170606_180113.pdf
Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie daher nicht auf die Anlage und öffnen Sie diese nicht!
Die E-Mail bringt eine Datei „MX-2310U_20170606_180113.pdf“ mit. Beim Öffnen der Datei würde der Acrobat Reader eine Sicherheitsabfrage stellen:
Please open attached 905M8OGPQFX258.docm file
Datei öffnen
Die Datei „905M8OGPQFX258.docm“ enthält eventuell Programme, Makros oder Viren, die Ihren Computer beschädigen können. Öffnen Sie die Datei nur, wenn Sie davon ausgehen können, dass sie in Ordnung ist. Wie möchten Sie vorgehen?
[x] Diese Datei öffnen
[ ] Öffnen von Dateien dieses Typs immer zulassen
[ ] Öffnen von Dateien dieses Typs niemals zulassen
Der Dateiname der Microsoft Word – Datei ist unterschiedlich. Würden Sie die Frage bestätigen, dann öffnet sich folgende Darstellung in Microsoft Word:
Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivieren
Klicken Sie nicht auf „Bearbeitung aktivieren“! Danach würde folgende Sicherheitsabfrage erscheinen:
Sicherheitswarnung
Makros wurden deaktiviert
Inhalt aktivieren
Nach dem Ausführen des Makros würde von den Adressen
- 10minutesto1.net/jt7677g6
- lcpinternational.fr/jt7677g6
eine Datei nachgeladen (kkloepp8 bzw. miniramon8.exe).
Es handelt sich dabei um eine bösartige Software (Jaff Ransomware). Laut Virustotal beträgt die Erkennungsrate 32/62.
Die bösartige Software fängt sofort damit an und verschlüsselt ganz viele Dateien. Dabei wird dem alten Dateinamen die Endung „.wlu“ hinzugefügt. Die Jaff Ransomware macht dabei auch vor Temp- oder Programmverzeichnissen nicht halt. In jedes Verzeichnis, in dem Dateien verschlüsselt worden sind, werden drei Dateien ergänzt:
README_TO_SAVE_YOUR_FILES.html
README_TO_SAVE_YOUR_FILES.bmp
README_TO_SAVE_YOUR_FILES.txt
Hier zunächst der Inhalt der Text-Datei (README_TO_SAVE_YOUR_FILES.TXT):
/////////////////////////////////////////////////////////////////////////////////
Files are encrypted!
To decrypt flies you need to obtain the private
key.The only copy of the private key, which will allow you to decrypt your
files, is located on a secret server
in the Internet.1.
You must install Tor Browser:
https://www.torproject.org/download/download-easy.html.en2.
After instalation, run the Tor Browser and enter address:
http://rktazuzi7hbln7sy.onion/Follow the instruction on the website.
Your decrypt ID: xxxxxxxxxx
//////////////////////////////////////////////////////////////////////////////
Die HTML-Datei (README_TO_SAVE_YOUR_FILES.HTML) sieht so aus:
Außerdem wird der Desktop-Hintergrund vom Trojaner durch das Bild (README_TO_SAVE_YOUR_FILES.BMP) ausgetauscht:
Die genannte Internetseite im TOR-Netzwerk würde zunächst die ID abfragen:
Nach Eingabe der ID würde folgende Erpressung angezeigt:
Die Darstellung der Seite hat eine sehr große Ähnlichkeit zu den Seiten, die bisher vom Verschlüsselungs- und Epressungstrojaner „Locky“ angezeigt worden sind (siehe am Ende der Warnung).