Ransomware lijkt momenteel aan een flinke opmars bezig. Daarbij worden allerlei ‘creatieve’ manieren bedacht om de malware op je systeem te krijgen. Meestal word je ertoe verleid een geprepareerd Word-document aan te klikken dat als bijlage aan een vervalste e-mail is toegevoegd. Het lijkt dan om een onbetaalde rekening of iets dergelijks te gaan.
Bij de ransomware Jaff gaat het niet om een Word-bestand, maar een gemanipuleerd PDF-bestand als bijlage. Als je dat opent, moet je bij het PDF-programma nog een beveiligingswaarschuwing wegklikken, maar dan wordt alsnog een Word-document met macro’s uit het PDF-bestand geëxtraheerd en geopend. Je bestanden worden dan versleuteld en zijn niet meer te openen. Voor het vrijgeven van de bestanden wordt losgeld ter hoogte van2 bitcoins gevraagd (momenteel zo’n 4200 euro).
Kaspersky Lab is actief in de strijd tegen ransomware en heeft naast beveiligingsoplossingen die daar tegen beschermen vorig jaar in samenwerking met onder meer Europol en de Nederlandse politie de online portal No More Ransom gelanceerd (nomoreransom.org). Die portal is gericht op het informeren van het publiek over de gevaren van ransomware en helpt slachtoffers om hun gegevens te herstellen zonder losgeld te betalen aan cybercriminelen door gevonden sleutels online te zetten – op het moment van schrijven was die er voor Jaff helaas nog niet. Er wordt in ieder geval het eenduidige advies gegeven om bij een infectie met ransomware nooit te betalen.
Woensdagavond heeft Kaspersky Lab een decryptor release voor de Jaff ransomware bekendgemaakt: https://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-decryptor-for-the-jaff-ransomware/
Er is een blogpost on Threatpost: https://threatpost.com/decryption-utility-unlocks-files-encrypted-by-jaff-ransomware/126276/