Jaff ransomware - Hvordan fjernes det?

Jaff ransomware virus er en nyopdaget infektion, der fastholder brugernes digitale data, indtil de betaler den krævet løsesum. Jaff virus er ikke en innovativ variant, for den benytter metoder, som allerede er blevet introduceret af forudgående eksemplarer. Det er blevet bekræftet, at den i øjeblikket bliver overført af et botnet. Så du skal være forsigtig, når du læser dine e-mails. Krypto-virussen kombinerer RSA-2048 kryptering med AES-256 algoritme for at gøre datagendannelsen endnu mere vanskelig. Så hvis du skulle modtage en e-mail, som kaldes for ”Scan_846554573” eller lignende, skal du ikke downloade nm.pdf-filerne, som følger med som vedhæftninger. Denne eksekverbare fil vil ikke vise indholdet i Adobe Reader men starte en yderligere fil i den version af Microsoft Office, som du har installeret.

Analyse af dette ransomware-eksemplar

Vi har allerede konstateret, at årsagen til denne infektion skyldes skadelige spam e-mails. Hvis du downloader vedhæftningen og forsøger at starte den i Adobe Reader, vil du få at vide, at du skal starte JDDVDH.docm i stedet. I nogle tilfælde vil den anbefalet eksekverbare fil køre sig selv, uden brugerens indblanding.

Derefter vil du få vist en sikkerhedsadvarsel, der oplyser, at dokumentet er beskyttet, og at du er nødt til at aktivere både indholds- og redigeringsfunktionerne. Det kan virke som en helt almindelig ting at gøre, men eftersom denne .docm-fil er skadelig, vil den starte skadelige makroer. De vil installere den egentlige Jaff krypto-virus og placere den i operativsystemet.

Nyttelasten kan være f87346b.exe, 924c84415.exe eller 04_pitupi20.exe, for man har fundet ud af, at alle disse bliver indlemmet af denne særlige infektion. Sikkerhedsværktøj har angivet denne infektion med 25% sporingshastighed. Denne specifikke krypto-virus vil vælge mellem en lang række filer, som den kan bruge kombinationen af krypteringerne på.

Når de digitale data er blevet krypteret, vil hver fil få vedhæftet udvidelsen .jaff. Lidt før krypteringen er overstået, vil ransomwareprogrammet benytte sig af internetforbindelsen og kontakte sin C&C-server, som befinder sig på domænet Fkksjobnn43.org/a5/. Men nyttelasten informerer dog kun hackerne om, at endnu et operativsystem er blevet inficeret.

Baggrunden på computerens skrivebord vil blive udskiftet med en WallpapeR.bmp-fil. Infektion vil også placere tre beskeder om løsesummen i tilfældige mapper, og de vil åbne i forskellige applikationer. En af dem, ReadMe.html, vil åbne i din foretrukne browser, mens ReadMe.txt og ReadMe.bmp vil starte i andre passende applikationer. Selvom Jaff ransomware kræver, at brugerne går ind en TOR-webside, virker designet til at være kopieret fra Locky. Det individuelle ID-nummer vil være nyttigt, når man skal have adgang til de websider.

Krav om løsesum og mulige metoder til dekryptering

Nogle af ofrene har fortalt, at de fik besked på at betale 1.82196031 BTC, som svarer til ca. 3253.53 dollars! Det er en ret heftig pris, men i andre tilfælde er beløbet muligvis endnu større. 2 BTC (ca. 3577.76) kan f. eks også blive stillet som krav for en fildekryptering. Men vi kan ikke råde dig til at betale et så stort beløb for det. Hvis du er blevet ramt af denne variant, skal du kontakte pålidelige sikkerhedseksperter, som kan hjælpe dig med at dekryptere dine filer helt gratis. Fabian Wosar arbejder koncentreret med disse sager og kan være den, du skal have fat i. I mange tilfælde tager filkrypteringen lang tid, så vi anbefaler, at du hurtigst muligt kontakter en sikkerhedsekspert.

For fremtiden skal du gemme dine filer i sikkerhedskopilagre. USB-flashdrev er også et sikkert sted, hvor du kan opbevare dine værdifulde, digitale oplysninger. Det er en super vigtig beslutning, når det drejer sig om ransomware.

Hvordan spredes dette ransomware?

Vi har allerede været inde på det i de foregående afsnit, hvor vi talte om, at ondsindede spam-kampagner bliver brugt til at distribuere denne krypto-virus. For at kunne overføre beskederne med succes, bliver et botnet brugt til opgaven (Necurs). Hvis du har modtaget en e-mail, der ligner dem, som beskrives i begyndelsen af denne artikel, skal du omgående slette dem fra din indbakke. Vi må dog ikke glemme de andre metoder, hvormed ransomwarevirusser bliver distribueret. Det omfatter skadelige annoncer, inficerede websider og sociale netværk.

Inden du kaster dig over fildekrypteringen, skal du fjerne selve infektionen. Reimage, Spyhunter eller Malwarebytes kan hjælpe dig ud af denne væmmelige situation.

1. Hvordan fjernes Jaff ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Jaff virus trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Jaff Decryption System ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Jaff ransomware.

3. Gendan filer, der er påvirket af Jaff virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Jaff Decryption System ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.