Jaff fidye yazılımı
Jaff adlı fidye yazılımında tespit edilen bir açığı kullanan güvenlik araştırmacıları, fidye yazılımının kilitlediği dosyaları açacak bir program yaptılar.
Kaspersky Lab şifre açan anahtarların kullanılırlığı ile ilgili düzenlenen programlı toplantıda “Jaff’in günümüze kadarki tüm varyantlarının kodlarında bir açık bulduk. Bu sayede artık kullanıcıların dosyalarını (.jaff, .wlu ya da .sVn uzantılı) ücretsiz olarak kurtarmak mümkün” dedi.
Jaff ilk olarak geçtiğimiz ay tespit edilmişti. O zamanlar Necurs’ün botnetleri tarafından yayılıyordu. Necurs Botnet, Locky ve Dridex saldırılarının arkasındaki botnettir (botnet, siber suçluların kendi yazılımlarını enjekte ettikleri makinelerden oluşan ağa verilen isimdir). Yapılan saldırılarda fidye yazılımının ilk yükleyicisi olarak işlev gören PDF dosyasına gömülü Microsoft Word belgelerinin olduğu yoğun reklam saldırıları düzenlenmişti.
Araştırmacılara göre eğer alıcılar Word macrosunun eklendiği PDF uzantılı dosyaları indirip çalıştırmışlarsa, aynı zamanda fidye yazılımını da indirmiş oluyorlar. Yazılım makineye indikten sonra yapımcılar, şifrenin verilmesi için 0.5 ile 2 bitcoin (yaklaşık 1.500-2.000$ arasında) fidye talebinde bulunuyorlar.
Bu ayın başlarında araştırmacıların yaptıkları açıklama ile bu fidye yazılımı ortaya çıkmıştı. Açıklamaya göre buldukları yazılım üzerinde çalıntı banka ve kredi kartı bilgileri satışı yapılan bir karaborsa ile ilişkili C2 geri-uç alt yapısı vardı.
Fidye yazılımından en çok etkilenen ülkeler arasında Çin, Hindistan, Rusya, Mısır ve Almanya bulunuyordu.
Şifrelenen dosyaların açılmasını sağlayan ücretsiz yazılım RakhniDecryptor (Version 1.21.2.1) adresine yüklendi.
Kaspersky Lab daha önce Coinvault, TeslaCrypt, Wildfire ve Crybola gibi fidye yazılımı çeşitleri için bir çok şifre çözücü anahtar yayınlamıştı. Kullanılabilir olan şifre çözücü araçların bir listesi Kaspersky Lab’ın ‘No Ransom Project’ adlı web sitesinde görülebilir.
