Virus zašifrira datoteke z AES algoritmom, ter datotekam doda .jaff končnico. V večini primerov se virus širi preko elektronske pošte, ki vsebuje pdf priponko.
Elektronski pošti, ki jo prejemniki dobijo v nabiralnik, je priložen pdf dokument, ki vsebuje obvestilo, da je potrebno odpreti priloženo datoteko, ki je Microsoft Office dokument in vsebuje izvršljivo kodo (makro).
S klikom na povezavo se ta datoteka shrani na računalnik. Ko jo zaženemo, se odpre kot Wordov dokument. Če je varnost makrojev primerno nastavljena, vas Word opozori, da je vsebina onemogočena. O tem opozarja tudi vsebina samega dokumenta, ter razlaga, da je potrebno za prikaz omogočiti vsebino.
Vsebina v dokumentu se s tem, ko kliknemo omogoči vsebino, nič ne spremeni, se pa izvede zlonamerna makro koda, ki se poveže na spletno stran, s katere prenese izvršljivo (.exe) datoteko (Jaff installer) in jo zažene.
Jaff installer nato začne s šifriranjem datotek različnih končnic, med njimi najbolj znane .xlsx, .pdf, .crt, .mpeg, .zip, .txt, .jpg, .doc, .docx, .ppt, .pps, .dot, .htm, .html, .pub, .7z, .tar, .csv ter druge.
Virus med postopkom šifriranja v vsaki mapi, kjer je zašifriral datoteke, kreira 3 datoteke in sicer ReadMe.bmp, ReadMe.txt in ReadMe.html. Tovrstna obvestila vsebujejo 10-mestno dešifrirno ID številko, navodilo o namestitvi TOR brskalnika ter naslov do strani v TOR omrežju, kjer lahko žrtev opravi plačilo.
Spletna stran v TOR omrežju zahteva vpis ID številke. Po vnosu le-te se odpre stran z navodili, kako plačati odkupnino, vrednost odkupnine v kripto valuti Bitcoin, ter naslov Bitcoin denarnice, kamor naj se izvrši plačilo. Trenuten znesek odkupnine šifrirnega ključa znaša približno 780 EUR.
"Prikazan primer izsiljevalskega virusa Jaff je prva verzija virusa, smo pa že zasledili drugo verzijo, ki zašifriranim datotekam doda končnico .wlu, spremenjen pa je tudi grafični vmesnik za prikaz obvestila. Sam postopek okužbe je pri novi verziji virusa ostal enak," poudarjajo na Si-Certu.
dezurni@zurnal24.si
