Erpressungstrojaner "Jaff"

Aktuelles rund um das Thema IT-Sicherheit
Antworten
Benutzeravatar
wanderer
Beiträge: 175
Registriert: Fr 14. Apr 2017, 19:03
Betriebssystem: LMDE, Sabayon, OI,
Virenscanner: Bei einer Desktop-Installation - wozu ?

Erpressungstrojaner "Jaff"

Beitrag von wanderer »

Hallo,

der Trojaner "Jaff" nimmt einen zweiten Anlauf. Es handelt sich um Ransomware.
Die Masche ist alt. In einer e-mail - oft mit dem Betreff 'Invoice' (Rechnung) - ist eine .pdf-Datei angehängt.

In diesem PDF ist, für die Empfänger nicht erkennbar, eine Word-Datei mit einem Makro integriert. Wer unter Windows® dem Öffnen der Word-Datei und dem Ausführen des Makros zustimmt, aktiviert über dieses Makro den Download einer Schadsoftware, die alle Dateien auf dem gerade genutzten Gerät verschlüsselt.
Danach fordern die Angreifer über einen Sperrbildschirm von den Opfern Lösegeld (meist 2 Bitcoins - derzeit ca. 5ooo €), nach dessen Zahlung die Daten angeblich wieder entschlüsselt werden.

Befallene Dateien weisen die Namenserweiterung .wlu auf und lassen sich nicht mehr öffnen: Ein Foto heißt dann etwa "Bild.jpg.wlu".

Wer auf die Mail hereinfällt und das PDF öffnet, fängt sich Jaff aber noch nicht *direkt* ein! Erst muß man in der PDF-Anwendung eine Sicherheitswarnung mit einem Klick auf "OK" abnicken. Anschließend wird ein Word-Dokument mit Makros aus dem PDF extrahiert und geöffnet. Nun muß das Opfer noch die Makros aktivieren. Erst dann findet die Infektion mit Jaff statt.
Hoffentlich ist hier keiner so naiv oder dumm Gleichartiges zu tun :!:

Man sieht - ein erneuter Grund für ein komplettes Systemabbild, welches man im Falle einer Infektion mit Ransomware neu aufspielen kann.
Auch sollte man stets skeptisch werden, wenn nach dem Öffnen eines Word-Dokumentes die Aktivierung von Makros gestattet werden soll.

Unter Windows® läßt sich per Gruppenrichtlinien das Freischalten ausführbarer Dateien oder von Office-Makros auch komplett verbieten [der geschickte Admin in einer Firma tut das], z.B. wenn die Dateien nicht mit vertrauenswürdigem Zertifikat signiert sind. Die Standardeinstellung ist leider eben so, daß der Anwender das selbst entscheiden darf / muß. Oft siegt halt die Bequemlichkeit! :pfeif:

Zuletzt ist das Ganze mal wieder eine Bestätigung für den Satz: Mit LINUX wäre das nicht passiert! :perfekt:

MfG
- - -
Benutzeravatar
wanderer
Beiträge: 175
Registriert: Fr 14. Apr 2017, 19:03
Betriebssystem: LMDE, Sabayon, OI,
Virenscanner: Bei einer Desktop-Installation - wozu ?

Re: Erpressungstrojaner "Jaff"

Beitrag von wanderer »

Hallo,

wie zu erwarten hat sich Hilfe bei dieser Ransomware eingestellt.

Das 'how-to' beschreibt die wichtigsten Schritte.

Link: https://www.nomoreransom.org/decryption-tools.html" onclick="window.open(this.href);return false;

MfG
- - -
Antworten