Jaff

Jaff Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA и AES-256 (CBC-режим), а затем требует выкуп в ~1.82-2.036 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Jaff. Начало.

К зашифрованным файлам добавляется расширение .jaff

Позже стали добавляться расширения:
.wlu - от 22 мая
.sVn - от 7 июня

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
ReadMe.txt
ReadMe.html
ReadMe.bmp

Содержание записки о выкупе:
jaff decryptor system
Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet
You must install Tor Browser: https://www.torproject.org/download/download-easy.html.en
After instalation, run the Tor Browser and enter address: http://rktazuzi7hbln7sy.onion/ 
Follow the instruction on the web-site.
Your decrypt ID: 00335*****

Перевод записки на русский язык:
jaff decryptor system
Файлы зашифрованы!
Для расшифровки файлов вам нужно получить закрытый ключ.
Только одна копия закрытого ключа, которая позволит вам дешифровать ваши файлы, находится на секретном сервере в Интернете
Вы должны установить Tor-браузер: https://www.torproject.org/download/download-easy.html.en
После установки запустите Tor-браузер и введите адрес: http://rktazuzi7hbln7sy.onion/
Следуйте инструкциям на веб-сайте.
Ваш ID дешифровки: 00335 *****

Страницы с Tor-сайта:

 Скриншоты страниц до ввода ID и после

Разработчики Jaff Ransomware позаимствовали макет требований о выкупе и HTML-записку для Tor-сайта у Locky Ransomware (в одной из последних итераций).

Распространяется с помощью email-спама и вредоносных вложений (Word-документ с макросами, PDF и пр.), ботнета Necurs, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Документ Word, требующий включить отображение содержимого - "Enable Content".

Вредоносные вложения могут иметь формат:

Copy_[Random Numbers]

Document_[Random Numbers]

Scan_[Random Numbers]

File_[Random Numbers]

PDF_[Random Numbers]

✋ Если пользователь по незнанию или по неосторожности разрешит включить макросы в документе, то макрос загрузит копию шифровальщика-вымогателя и запустит её на выполнение. 

Список файловых расширений, подвергающихся шифрованию:
.001, .002, .003., .004, .005, .006, .007, .008, .009, .010, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .7z, .7ZIP, .aac, .ab4, .accdb, .accde, .accdt, .acd, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aif, .aiff, .ait, .al, .aoi, .apj, .arw, .as4 .asf, .asm, .asp., .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cad, .cbr, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .deb, .der, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dsr, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erd, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fif, .fla, .flac, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .htm, .html, .ibank, .ibd, .ibz, .ico, .ics, .idf, .idx, .iff, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lit, .log, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mdi, .mef, .mfw, .mid, .mix, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpd, .MPEG, .mpg, .mrw.des, .msg, .nd, .ndd, .ndf, .nef, .nk, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obd, .obj, .obt, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ord, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .p12, .p7b, .p7c, .pab, .pages, .par, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prn, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr.myd, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rpm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdf, .sitx, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.gz, .tex, .tga, .thm, .tib, .tlg, .txt, .vbox, .vcf, .vdi, .veg, .vhd, .vhdx, .vib, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsc, .vsd, .wab, .wad, .wallet, .wav, .waw, .wb2, .wbk, .wda, .wma, .wmv, .wp, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm,.xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmod, .ycbcra, .zip, .zipx, .zpf (421 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.

Jaff Ransomware может шифровать файлы без подключения к Интернету, благодаря специальной схеме шифрования, но он всё-таки подключается к серверу fkksjobnn43.org, чтобы сообщить, что новая жертва шифруется, отправляя слово "Created". 

👮 Операторы Jaff Ransomware и подпольная торговая площадка PaySell используют один и тот же сервер c IP-адресом 5.101.66.85 (принадлежит хостинг-провайдеру из Санкт-Петербурга). Площадка PaySell предлагает платный доступ к взломанным банковским учетным записям, аккаунтам PayPal, eBay и интернет-магазинов, продаёт персональную информацию пользователей, такой как номера социального страхования, формы W-2 (документ, в котором содержится полная информация о зарплате и уплаченных налогах) и т.д. Кроме того, в отдельном разделе сайта даже предлагается доступ к взломанным компьютерам (только на базе Windows).

Файлы, связанные с этим Ransomware:
ReadMe.txt
ReadMe.html
ReadMe.bmp
WallpapeR.bmp
Rcfcngzxx.exe
pitupi20.exe
<random>.exe
jaffdecryptor.exe
nm.pdf


Расположения:
C:\ProgramData\Rondo\
C:\ProgramData\Rondo\backup.om\
C:\ProgramData\Rondo\WallpapeR.bmp\

Записи реестра, связанные с этим Ransomware:
HKCU\Control Panel\Desktop\Wallpaper   "C:\ProgramData\Rondo\WallpapeR.bmp"
См. ниже результаты анализов.

Сетевые подключения и связи:
fkksjobnn43.org/a5/ (47.91.107.213:80) - C&C-сервер
xxxx://rktazuzi7hbln7sy.onion/
***datadunyasi.com\\jhg6fgh***
***brotexxshferrogd.net\\af\\jhg6fgh***
***herrossoidffr6644qa.topWafWjhg6fgh***
***f1tohl.com\\jhg6fgh***
xxxx://paysell.info***
xxxx://paysell.net***
xxxx://paysell.me***
xxxx://paysell.bz***
xxxx://paysell.org***
xxxx://paysell.ws***
***paysellzh4l5lso7.onion***
xxxx://5.101.66.85
См. также результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 22 мая 2017:
Записки: README_TO_DECRYPT.txt, README_TO_DECRYPT.html и README_TO_DECRYPT.bmp
Расширение: .wlu
Email-вложения: DOCM, PDF
URL: maximusstafastoriesticks.info/a5/
xxxx://rktazuzi7hbln7sy.onion/
Файл: levinsky8.exe
Сумма выкупа: ~0.36 BTC
Список типов файлов, подвергающихся шифрованию:

.001, .002, .004, .005, .006, .007, .008, .009, .010, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .7ZIP, .aac, .ab4, .accdb, .accde, .accdt, .acd, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .aif, .aiff, .ait, .aoi, .apj, .arw, .as4, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .cad, .cbr, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .dat, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .deb, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dsr, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erd, .exf, .fdb, .ffd, .fff, .fhd, .fif, .fla, .flac, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hdr, .hpp, .htm, .html, .ibank, .ibd, .ibz, .ico, .ics, .idf, .idx, .iff, .iif, .iiq, .incpas, .indd, .iso, .java, .jnt, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lit, .log, .lua, .m2ts, .m3u, .m4a, .m4p, .m4v, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mdi, .mef, .mfw, .mid, .mix, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpd, .MPEG, .mpg, .msg, .myd, .ndd, .ndf, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obd, .obj, .obt, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ord, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .p12, .p7b, .p7c, .pab, .pages, .par, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prn, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .qba, .qbb, .qbm, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rpm, .rtf, .rvt, .rw2, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdf, .sitx, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vbox, .vcf, .vdi, .veg, .vhd, .vhdx, .vib, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsc, .vsd, .wab, .wad, .wallet, .wav, .waw, .wb2, .wbk, .wda, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmod, .ycbcra, .zip, .zipx, .zpf (404 расширения).

Видеообзор >>
Скриншоты записок и сайта вымогателей

 

Обновление от 7 июня 2017:
Пост в Твиттере >>
Расширение: .sVn
Сумма выкупа: ~0.54 BTC
Файлы: SKM_C224e9930.exe и другие.
URL: rktazuzi7hbln7sy.tor2web.cf
Записки: !!!!README_FOR_SAVE FILES.txt
!!!SAVE YOUR FILES.bmp

 

Содержание записки: 
Your decrypt ID: *****
Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your 
files, is located on a secret server in the Internet.
Use this Link: http://rktazuzi7hbln7sy.tor2web.cf
If the link does not work:
1. You must install Tor Browser:
https://www.torproject.org/download/download-easy.html.en
2. After instalation, run the Tor Browser and enter address:
http://rktazuzi7hbln7sy. oni on/
Follow the instruction on the website.
Your decrypt ID: *****
Видеообзор от GrujaRS >>

Внимание!
Для зашифрованных файлов есть декриптор от ЛК
Скачать RakhniDecryptor для дешифровки >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Jaff)
 Video review + video review
 Write-up, Write-up, Topic

Added later:
Write-up on BC (add. May 24, 2017)
Write-up by Fortinet (add. January 31, 2019)
*

 Thanks: 
 Karsten Hahn, MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 Sarah
 

© Amigo-A (Andrew Ivanov): All blog articles.