Še en izsiljevalski virus na pohodu
Slovenski odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT je danes opozoril na nov izsiljevalski virus. Obravnavali so namreč primer okužbe z virusom Jaff, ki za odklepanje zaklenjenih datotek od uporabnika zahteva plačilo. Znesek odkupnine znaša približno 780 evrov.
Foto: Pixabay
LJUBLJANA
> V večini primerov se virus širi preko elektronske pošte, ki vsebuje pdf-priponko. Priložen pdf-dokument vsebuje obvestilo, da je potrebno odpreti priloženo docm-datoteko, ki pa vsebuje izvršljivo kodo oziroma makro. S klikom se ta datoteka shrani na računalnik. Ko jo uporabnik zažene, se odpre kot Wordov dokument.
Če je varnost makrojev primerno nastavljena, potem program Word uporabnika opozori, da je vsebina onemogočena. Na to opozarja tudi vsebina samega dokumenta ter razlaga, da je potrebno za prikaz omogočiti vsebino.
Vsebina v dokumentu se s tem, ko uporabnik klikne na ukaz za omogočanje vsebine, nič ne spremeni, se pa izvede zlonamerna makro koda, ki se poveže na spletno stran, s katere prenese izvršljivo datoteko - imenovano Jaff installer - in jo zažene.
Ta izvršljiva koda nato začne s šifriranjem datotek različnih končnic, med njimi najbolj znane .xlsx, .pdf, .crt, .mpeg, .zip, .txt, .jpg, .doc, .docx, .ppt, .pps, .dot, .htm, .html, .pub, .7z, .tar, .csv ter drugih.
Izsiljevalski virus Jaff zašifrira datoteke z s šifrirnim algoritmom AES ter jim doda končnico .jaff, so še sporočili iz centra SI-CERT.
Virus med postopkom šifriranja v vsaki mapi, kjer je zašifriral datoteke, ustvari tri datoteke, in sicer ReadMe.bmp, ReadMe.txt in ReadMe.html. Tovrstna obvestila vsebujejo 10-mestno dešifrirno ID-številko, navodilo o namestitvi brskalnika Tor ter naslov do strani v omrežju Tor, kjer lahko žrtev opravi plačilo.
Spletna stran v omrežju Tor zahteva vpis ID-številke. Po vnosu te se odpre stran z navodili, kako plačati odkupnino, vrednost odkupnine v kripto valuti bitcoin ter naslov, kamor naj se izvrši plačilo. Znesek odkupnine šifrirnega ključa trenutno znaša približno 780 evrov.
Opisani primer izsiljevalskega virusa Jaff je prva različica virusa, pojavila pa se je že nova, ki zašifriranim datotekam doda končnico .wlu, spremenjen pa je tudi grafični vmesnik za prikaz obvestila. Sam postopek okužbe je pri novi različici virusa ostal enak.
Zaenkrat še ni na voljo orodje, s katerim bi lahko restavrirali šifrirane datoteke, pravijo v centru SI-CERT in dodajajo, da se zato uporabniki lahko zanesejo le na ustrezno izdelane varnostne kopije. Te morajo biti varno shranjene in ločene od omrežja.
Novi izsiljevalski virus prihaja nedolgo po globalnem pohodu izsiljevalskega virusa WannaCry. Ta je v okoli 150 državah prizadel najmanj 200.000 organizacij in zasebnih uporabnikov.
STA