La famiglia di ransomware Jaff è apparsa solo pochi giorni prima del famigerato attacco WannaCry. La peculiarità più interessante di questo ransomware è che viene distribuito attraverso Necurs, la botnet che si cela dietro alle campagne Locky e Dridex.
Le vittime di questo ransomware ricevono email di spam che contengono in allegato file PDF che, dopo essere stati aperti, causano la crittografia dei file degli utenti con estensioni .jaff, .wlu o .sVn.
Attualmente, viene richiesto un riscatto tra 0,5 e 2 Bitcoin (circa 1.500 – 5.000 dollari americani, secondo l’attuale tasso di cambio).
I cinque Paesi più colpiti da questa minaccia sono: Cina, India, Russia, Egitto e Germania.
Kaspersky Lab ha scoperto una vulnerabilità nel codice di tutte le varianti del ransomware Jaff ad oggi scoperte. Grazie a questa vulnerabilità, è possibile ripristinare gratuitamente i file degli utenti (criptati con le estensioni .jaff, .wlu, o .sVn) attraverso il programma RakhniDecryptor di Kaspersky Lab.
Ecco come agire:
- Per prima cosa, bisognerebbe condurre una disinfezione usando una soluzione di sicurezza
- In seguito, è necessario scaricare e installare RakhniDecryptor (versione 1.21.2.1)
- Infine, avviare RakhniDecryptor: chiederà un file criptato e il testo della richiesta di riscatto (.txt o .html), per poi tentare la decriptazione del primo file e – se tutto funziona correttamente – effettuerà una scansione di tutti i tipi di drive selezionati e decripterà tutti i file colpiti da Jaff.