La vulnerabilità ha permesso di creare un tool di decriptazione gratuito per aiutare le vittime a recuperare i propri file

virus-malware

La famiglia di ransomware Jaff è apparsa solo pochi giorni prima del famigerato attacco WannaCry. La peculiarità più interessante di questo ransomware è che viene distribuito attraverso Necurs, la botnet che si cela dietro alle campagne Locky e Dridex.

Le vittime di questo ransomware ricevono email di spam che contengono in allegato file PDF che, dopo essere stati aperti, causano la crittografia dei file degli utenti con estensioni .jaff, .wlu o .sVn.

Attualmente, viene richiesto un riscatto tra 0,5 e 2 Bitcoin (circa 1.500 – 5.000 dollari americani, secondo l’attuale tasso di cambio).

I cinque Paesi più colpiti da questa minaccia sono: Cina, India, Russia, Egitto e Germania.

Kaspersky Lab ha scoperto una vulnerabilità nel codice di tutte le varianti del ransomware Jaff ad oggi scoperte. Grazie a questa vulnerabilità, è possibile ripristinare gratuitamente i file degli utenti (criptati con le estensioni .jaff, .wlu, o .sVn) attraverso il programma RakhniDecryptor di Kaspersky Lab.

Ecco come agire:

  • Per prima cosa, bisognerebbe condurre una disinfezione usando una soluzione di sicurezza
  • In seguito, è necessario scaricare e installare RakhniDecryptor (versione 1.21.2.1)
  • Infine, avviare RakhniDecryptor: chiederà un file criptato e il testo della richiesta di riscatto (.txt o .html), per poi tentare la decriptazione del primo file e – se tutto funziona correttamente – effettuerà una scansione di tutti i tipi di drive selezionati e decripterà tutti i file colpiti da Jaff.