Jaff (Trojanisches Pferd)
Jaff ist ein Schadprogramm für Windows, das ab Mai 2017 zahlreiche Computer befiel.
Einen Tag nach dem ersten Auftreten von Jaff folgte der Ausbruch des Schadprogrammes WannaCry. Anders als WannaCry nutzt Jaff aber keine Sicherheitslücken, sondern verbreitete sich als Download über den indirekten Weg als E-Mail-Attachment.
Verbreitung[Bearbeiten | Quelltext bearbeiten]
Das Schadprogramm täuscht eine PDF-Datei vor, die sich im Dateianhang einer E-Mail befindet. Durch das Ausführen öffnet sich aber ein Microsoft-Word-Dokument, welches JavaScript nutzt und daher mit einer Sicherheitsabfrage bestätigt werden muss. In das Dokument ist ein Makro eingebettet. Das Makro selbst ist bereits ein Trojaner, mit dessen Hilfe dann die Ransomware Jaff nachgeladen wird.[1][2]
Die meist betroffenen Staaten waren Deutschland, die Niederlande, die USA, Frankreich, Japan, Kanada und Australien.
Im Juni 2017 wurde von Kaspersky mit RakhniDecryptor ein Entschlüsselungstool veröffentlicht, dass die eigenen Dateien wieder entschlüsselt ohne Lösegeld zu zahlen.[3]
Inhalt der E-Mail[Bearbeiten | Quelltext bearbeiten]
Der kurze Text der E-Mail fordert den Empfänger ausdrücklich auf, die angehängte PDF-Datei zu öffnen.
Payload[Bearbeiten | Quelltext bearbeiten]
Nach dem Befall verschlüsselt das Schadprogramm einige Dateien. Die Dateien haben nun die Dateiendung .wlu. Der Nutzer muss zur Entschlüsselung auf einer Darknet-Seite mit Bitcoins im Wert von etwa 700 Euro bezahlen. Ob nach einer Bezahlung auch wirklich eine Entschlüsselung erfolgte, ist nicht bekannt.
Angeblich hat das Schadprogramm auch einige Eigenschaften eines Computerwurms und kann sich auf weitere Windows-Rechner ausbreiten. Jaff versucht auch, die Backdoor DoublePulsar zu installieren.