勒索软件Jaff出现变种:卡巴斯基发全版本解密工具
- A
近日,卡巴斯基的研究人员在勒索软件 Jaff 发现了某个漏洞,并成功制作出了解密工具,可以用于解密当前所有版本的Jaff勒索软件。
据了解,该漏洞和零日漏洞相似,存在于 Jaff 所有版本的变种之中,用户可以自行检索下载该解密工具,无需给黑客支付相关的费用即可免费解密自己被加密的文件。
我们知道,勒索软件 Jaff 最早是在今年的05月份被发现的,其主要是通过垃圾邮件附带的的 Word 等形势的文档进行传播的,当时臭名昭著的 Necurs 僵尸网络以每小时 500 万封恶意邮件的传播速度来传递这款新型的勒索软件 Jaff ,全球范围内遭到袭击的电脑达到 600 万台。
该勒索软件采用 C 语言程序编写,利用宏功能诱导用户点击运行来感染用户设备,用户一旦点击文档,就会打开含有恶意宏脚本的嵌入式 Word 文档,以下载并运行勒索软件 Jaff ,一旦该勒索软件成功的被运行,就能够立即加密用户的文件。
勒索软件 Jaff 能够做到不依赖 C&C 服务器的情况下针对 423 个文件扩展名进行离线加密处理,加密后的文件则统一显示为 . jaff 后缀形式的文件,受到影响的设备则会被攻击者恶意替换而且收到关于索要勒索赎金的具体信件。
不过,根据研究显示,该勒索信中虽然警告受害者文件已被加密了,但并不会要求用户直接付款,反而会引导用户通过 Tor 浏览器访问网站支付门户,以便于解密重要文件,而用户一旦根据相关指示下载安装了 Tor 浏览器并访问了该网站后,就会被立即要求支付赎金!
前文提到了,卡巴斯基的研究人员已通过 Jaff 的某个漏洞成功制作出了解密工具,但近日,国外安全专家在研究新型勒索软件 Jaff 的最新变种时候发现了新的情况。
这可谓是道高一尺魔高一丈,该勒索软件产生的新的病毒变种能够通过伪装成内部的复印机,以发送“ KM_C224e”为主题的电子邮件,其中也包括名为SKM_C224e54955163156.zip的恶意附件。
一般该邮件被用户接受并且成功执行的话,那么受害者电脑中的文件就会被立即加密,加密形式为为以.sVn扩展名的文件,不知道卡巴斯基研制出的加密工具是否可解密这样的加密文件呢?
因此这里有必要再提一个老生常谈的话题了,那就是数据备份:如果可以的话,请将自己的重要数据做好异地备份,防止遭遇勒索软件的攻击,同时能够在 Microsoft Office 应用程序中禁用宏功能防止诸如 Jaff 勒索软件的袭击。
另外,也建议用户能够时时刻刻保持自己的系统为最新状态,同时确保杀软也处于最新联网状态,不随意浏览未知风险的网页、不打开来历不明的电子邮件甚至附件!
