یک کمپین بسیار عظیم و مخرب پست‌های الکترونیکی که بر پایه بات‌نت Necurs است در حال پخش کردن یک باج‌گیر افزار جدید با سرعت ۵ میلیون پست الکترونیک در ساعت است و بسیاری از کامپیوترها را در سراسر جهان مورد حمله قرار داده است.

Jaff

این باج‌گیر افزار که Jaff نام‌گذاری شده است، نوعی جدید از باج‌گیر افزارهای رمز کننده فایل‌هاست که از بسیاری جهات شبیه به باج‌گیر افزار Locky است[۱]، اما میزان پولی که درخواست می‌کند برابر با ۱٫۷۹ بیت کوین یا تقریباً ۳۱۵۰ دلار است که این میزان بالاتر از رقم درخواستی باج‌گیر افزار Locky برای باز کردن فایل‌های رمز شده بر روی سیستم آلوده است.

بر طبق گزارش محققان امنیتی Forcepoint Security Lab، باج‌گیر افزار Jaff به زبان برنامه‌نویسی C نوشته شده است و به کمک بات‌نت Necurs در حال گسترده شدن است که این بات‌نت در حال حاضر بر روی ۶ میلیون کامپیوتر آلوده شده در سراسر جهان کنترل دارد.

وب‌سایت Malwarebytes می‌نویسد[۲]: “بات‌نت Necurs به میلیون‌ها کاربر پست‌‌های الکترونیکی حاوی یک پرونده ضمیمه شده از نوع PFD ارسال می‌کند که اگر کاربران بر روی آن کلیک کنند یک فایل word باز شده که دارای یک اسکریپیت ماکروی مخرب[۳] است که ازآن‌جهت دانلود کردن و اجرای باج‌گیر افزار Jaff استفاده می‌شود.”

باج‌گیر افزار Jaff با سرعت ۵ میلیون در ساعت در حال گسترده شدن است.

Necurs

این کمپینِ پست الکترونیک مخرب در روز پنج‌شنبه (۱۱ می ۲۰۱۷) ساعت ۹ صبح شروع شده و در ساعت ۱ بعدازظهر به اوج خودش رسیده بود. در این بازه این سیستم ۱۳ میلیون پست الکترونیک ارسال شده را ثبت کرده است که نرخ بسیار بالایی است.

Forcepoint می‌گوید[۴]: “Jaff بیش از ۴۲۳ پسوندِ فایل را مورد هدف قرار داده است. این باج‌گیر افزار قابلیت این را دارد که به‌صورت آفلاین و بدون اینکه به یک سرور فرمان و کنترل متصل باشد عملیات رمزنگاری را انجام دهد. هنگامی‌که یک فایل رمزنگاری شود، پسوند ‘.jaff’ ظاهر می‌شود.”

در مرحله بعدی این باج‌گیر افزار یک یادداشت باج‌خواهی بر روی هر فولدرِ آلوده شده قرار می‌دهد و این در حالی است که تصویر دسکتاپ کامپیوتر آلوده شده نیز جایگزین می‌شود.

این یادداشت باج‌خواهی به قربانیان می‌گوید که فایل‌های آن‌ها رمزنگاری‌شده است اما از آن‌ها درخواست پرداخت هیچ‌گونه مبلغی را نمی‌کند بلکه به آن‌ها اصرار می‌کند تا یک پورتال پرداخت را در یک وب‌سایت که در Tor قرار دارد مشاهده کنند که از طریق مرورگر Tor قابل‌دسترسی است و در آن نحوه رمزگشایی فایل‌های آن‌ها آمده است.

هنگامی‌که فرد قربانی مرورگر Tor را نصب می‌کند و سایت موردنظر را مشاهده می‌کند، در آنجاست که از فرد قربانی درخواست می‌شود تا مبلغ ۱٫۷۹ بیت کوین یا تقریباً ۳۱۵۰ دلار را پرداخت کند.

Jaff

یک تحقیق مجزا که توسط محققان Proofpoint انجام شده است نشان می‌دهد این احتمال وجود دارد که باج‌گیر افزار Jaff برای گروه مجرمان سایبری باشد که در پشت Locky ،Dridex و Bart قرار دارند.

این شرکت امنیتی می‌گوید که کمپین باج‌گیر افزار Raff بر روی کاربرانی در سراسر جهان تأثیرگذار گذاشته است و سازمان‎های قربانی این باج‌گیر افزار در درجه اول در کشورهای انگلستان، آمریکا، ایرلند، بلژیک، ایتالیا، آلمان، هلند، فرانسه، مکزیک و استرالیا قرار دارند.

چگونه از خود در برابر باج‌گیر افزار Jaff محافظت کنیم؟

برای محافظت شدن در برابر حملات این‌چنین باج‌گیر افزارهایی، شما باید همیشه نسبت به پرونده‌های الکترونیکی ناخواسته که از طریق پست الکترونیک برای شما ارسال می‌شود مشکوک باشید و هیچ‌گاه بر روی لینک‌های قرار داده شده درون این پرونده‌ها کلیک نکنید مگر آنکه از منبع آن مطمئن باشید.

بررسی کنید که گزینه Macro در برنامه مایکروسافت آفیس غیرفعال باشد. اگر این‌طور نبود، این گزینه را در برنامه آفیس غیرفعال کنید. در سازمان‌های بزرگ، مدیر سیستم می‌تواند تنظیمات پیش‌فرضی برای macroهای تمامی سیستم‌ها قرار دهد.

برای نگهداری از فایل‌ها و پرونده‌های الکترونیکی بسیار مهم خود به‌طور منظم و در یک فضای مجزا از آن‌ها پشتیبان تهیه کنید که این فضا همیشه به سیستم شما متصل نباشد.

علاوه بر این، از نصب بودن و به‌روز بودن یک آنتی‌ویروس خوب بر روی سیستم خود اطمینان حاصل کنید و مهم‌تر از همه این مطالب، همیشه در بازدید از وب‌سایت‌های مختلف در اینترنت جنبه احتیاط را رعایت کنید.

منابع

[۱] http://thehackernews.com/2016/02/locky-ransomware-decrypt.html

[۲]https://blog.malwarebytes.com/cybercrime/2017/05/new-jaff-ransomware-via-necurs-asks-for-2-btc

[۳] http://thehackernews.com/2016/03/macro-malware-protection.html

[۴] https://blogs.forcepoint.com/security-labs/jaff-enters-ransomware-scene-locky-style

[۵] http://thehackernews.com/2017/05/decrypt-jaff-ransomware-files.html