بررسی و تحلیل باج‌افزار Jaff

در اواخر اردیبهشت ماه 1396، محققان از ارسال ده‌ها میلیون ایمیل هرزنامه خبر دادند که هدف آنها آلوده کردن دستگاه قربانی به باج‌افزاری با عنوان Jaff بود. پیوست این هرزنامه‌ها فایلی PDF بود که در آن یک فایل Word حاوی ماکروی مخرب تزریق شده بود. در صورت باز شدن فایل پیوست و اجرای ماکروی مخرب، دستگاه به باج‌افزار آلوده شده و فایل‌های با یکی از پسوند هدف قرار گرفته شده رمزگذاری می‌شدند.

در نخستین نسخه از این باج افزار پسوند فایل‌های رمزگذاری شده به به jaff. تغییر داده می‌شد. ضمن اینکه مبلغ اخاذی شده در این نسخه حدود 2.047 بیت‌کوین (معادل بیش از 170 میلیون ریال) بود که در مقایسه با اکثر باج‌افزارها، مبلغی بالا و غیررایج محسوب می‌شد.

منابع مختلفی کارزار توزیع‌کننده Jaff را کارزاری موسوم به Malspam می‌دانند که انتشار باج‌افزار معروف Locky و بدافزار مشهور بانکی Dridex را در کارنامه خود دارد. این کارزار از شبکه مخرب Necurs به‌منظور توزیع هرزنامه‌های خود بهره می‌گیرد.

از اوایل خرداد ماه 96 نیز، کارزار مذکور اقدام به توزیع نسخه جدیدی از باج‌افزار Jaff نموده که در مقایسه با نسخه پیشین آن تکامل‌های قابل توجهی یافته است.
در نسخه جدید پسوند فایل‌های رمزنگاری شده به wlu. تغییر داده می‌شود.

شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل ساختار و عملکرد آخرین نسخه از باج‌افزار Jaff پرداخته است. برای دریافت این گزارش بر روی تصویر زیر کلیک کنید.