ransomware Jaff - Como remover?

 

O vírus ransomware Jaff é uma infeção recentemente localizada que guarda a informação digital dos utilizadores como refém até que seja pago um resgate. O vírus Jaff não é uma variante inovadora uma vez que segue estratégias que são transmitidas intensamente por um botnet. Por isso por favor tenha cuidado quando vê as mensagens que recebe nas suas contas de e-mail. O cripto-vírus combina uma cifra RSA-2048 com um algoritmo AES-256 com o objetivo de tornar a recuperação de dados ainda mais complicada. Se acontecer receber uma carta de e-mail com o título de “Scan_846554573” ou semelhante, não descarregue os ficheiros pdf que contêm como anexos. Este executável não irá apresentar conteúdo no Adobe Reader mas antes abrir um ficheiro adicional na versão do Microsoft Office que tiver instalada.

Análise desta amostra de ransomware

Já estabelecemos que a fonte desta infeção são e-mails de spam maliciosos. Se descarregar o anexo e tentar abri-lo no Adobe Reader, irá reparar nas explicações de que o JDDVDH.docm deve ser aberto na sua vez. Nalguns casos, o executável recomendado irá executar-se a si mesmo, sem a participação dos utilizadores.

Depois, irá ser apresentado a um Aviso de Segurança, avisando que este documento está protegido e tem de habilitar tanto o conteúdo como as características de edição. Isto pode parecer uma ação frequente a executar, mas uma vez que este ficheiro .docm é nocivo, ele irá abrir macros maliciosas. Elas irão instalar a carga útil propriamente dita do cripto-vírus Jaff e colocam-na num sistema operativo.

A carga útil pode ser o f87346b.exe, 924c84415.exe ou 04_pitupi20.exe uma vez que foi descoberto que todos foram inseridos por esta infeção específica. As ferramentas de segurança indicaram esta infeção com uma taxa de deteção de 25%. Este cripto-vírus específico irá escolher entre uma variedade de ficheiros a aplicar a combinação de cifras.

Após a informação digital ser codificada, a extensão .jaff irá ser anexada a todos os ficheiros. às vezes antes da encriptação estar concluída, o ransomware irá tirar vantagem da ligação à Internet e contactar o seu servidor C&C, localizado no domínio Fkksjobnn43.org/a5/. Contudo, a carga útil apenas informa os piratas informáticos de que outro sistema operativo foi infetado.

Os fundos de ambientes de trabalho também irão ser substituídos pelo ficheiro WallpapeR.bmp. Em pastas aleatórias a infeção irá também colocar três notas de resgate que irão abrir em aplicações diferentes. Uma delas, ReadMe.html irá ser aberta no seu navegador preferido, enquanto o ReadMe.txt e o ReadMe.bmp irão abrir noutras aplicações apropriadas. Apesar do ransomware Jaff requerir que os utilizadores entrem num website TOR, o seu design parece ser copiado do Locky. Os números de identificação individuais de vítimas irão dar jeito no que toca a aceder a estes websites.

Exigências de resgate e possíveis métodos para a desencriptação

Algumas das vítimas indicaram que lhes foi pedido que pagassem 1.82196031 BTC que se traduz em, aproximadamente, 3253.53 dólares americanos! Este já é um preço significativo, mas é possível que noutros casos, somas ainda mais altas sejam exigidas. 2 BTC (cerca de 3577.76) pode também ser uma taxa para desencriptação de ficheiros. Contudo, não recomendamos que desperdice quantias tão grandes de dinheiro. Se tiver sido afetado por esta variante, contacte investigadores de segurança fiáveis que o ajudarão a desencriptar os seus ficheiros gratuitamente. Fabian Wosar trabalhar proximamente com estes assuntos e pode ser quem o ajuda. Em muitos casos, a desencriptação de ficheiros demora muito tempo, por isso recomendamos que tente contactar investigadores assim que possível.

ATUALIZAÇÂO: ferramenta de desencriptação para o ransomware Jaff finalmente chegou. Pode descarrega-la aqui.

Para o future: lembre-se de armazenar os seus ficheiros em armazéns externos. Pens USB também são um dispositivo seguro para guardar a sua informação digital valiosa. Esta é uma decisão que pode salvar vidas no que toca a ransomware.

Como é que este ransomware se espalha?

Já fizemos uma declaração nos parágrafos anteriores sobre este assunto. Idincámos que campanhas maliciosas de spam foram escolhidas para distribuir este cripto-vírus. Para transmitir mensagens com sucesso, um botnet foi atribuído ao caso (Necurs). Se tiver recebido mensagens de e-mail que parecem semelhantes aos que descrevemos no início deste artigo, apague-as da sua caixa de entrada imediatamente. Não devemos ignorar outros métodos que os vírus ransomware utilizam para explorar a sua distribuição. Isto inclui, distribuição através de anúncios maliciosos, websites manchados ou sites de redes sociais.

Antes de tentar perseguir a descodificação de ficheiros, deve remover a infeção em si. Reimage, Spyhunter ou Malwarebytes podem ser as ferramentas que o ajudam a resolver esta situação comprometedora.

Como remover ransomware Jaff usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do Jaff virus

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com Jaff Decryption System ransomware.


3. Restaure os ficheiros afetados pelo ransomware Jaff usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Jaff virus tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

Previous version
b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de ransomware Jaff

 
  Baixar Reimage para ransomware Jaff detecçãoNota: julgamento Reimage fornece detecção de parasita como ransomware Jaff e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Capturas de tela ransomware Jaff

 
           
     

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *