Kaspersky Lab’dan ransomware kurbanları için şifre çözücü

Jaff fidye yazılımı

Jaff adlı fidye yazılımında tespit edilen bir açığı kullanan güvenlik araştırmacıları, fidye yazılımının kilitlediği dosyaları açacak bir program yaptılar.

Kaspersky Lab şifre açan anahtarların kullanılırlığı ile ilgili düzenlenen programlı toplantıda “Jaff’in günümüze kadarki tüm varyantlarının kodlarında bir açık bulduk. Bu sayede artık kullanıcıların dosyalarını (.jaff, .wlu ya da .sVn uzantılı) ücretsiz olarak kurtarmak mümkün” dedi.

Jaff ilk olarak geçtiğimiz ay tespit edilmişti. O zamanlar Necurs’ün botnetleri tarafından yayılıyordu. Necurs Botnet, Locky ve Dridex saldırılarının arkasındaki botnettir (botnet, siber suçluların kendi yazılımlarını enjekte ettikleri makinelerden oluşan ağa verilen isimdir). Yapılan saldırılarda fidye yazılımının ilk yükleyicisi olarak işlev gören PDF dosyasına gömülü Microsoft Word belgelerinin olduğu yoğun reklam saldırıları düzenlenmişti.

Araştırmacılara göre eğer alıcılar Word macrosunun eklendiği PDF uzantılı dosyaları indirip çalıştırmışlarsa, aynı zamanda fidye yazılımını da indirmiş oluyorlar. Yazılım makineye indikten sonra yapımcılar, şifrenin verilmesi için 0.5 ile 2 bitcoin (yaklaşık 1.500-2.000$ arasında) fidye talebinde bulunuyorlar.

Bu ayın başlarında araştırmacıların yaptıkları açıklama ile bu fidye yazılımı ortaya çıkmıştı. Açıklamaya göre buldukları yazılım üzerinde çalıntı banka ve kredi kartı bilgileri satışı yapılan bir karaborsa ile ilişkili C2 geri-uç alt yapısı vardı.

Fidye yazılımından en çok etkilenen ülkeler arasında Çin, Hindistan, Rusya, Mısır ve Almanya bulunuyordu.

Şifrelenen dosyaların açılmasını sağlayan ücretsiz yazılım RakhniDecryptor (Version 1.21.2.1) adresine yüklendi.

Kaspersky Lab daha önce Coinvault, TeslaCrypt, Wildfire ve Crybola gibi fidye yazılımı çeşitleri için bir çok şifre çözücü anahtar yayınlamıştı. Kullanılabilir olan şifre çözücü araçların bir listesi Kaspersky Lab’ın ‘No Ransom Project’ adlı web sitesinde görülebilir.

Jaff fidye yazılımı

Jaff adlı fidye yazılımında tespit edilen bir açığı kullanan güvenlik araştırmacıları, fidye yazılımının kilitlediği dosyaları açacak bir program yaptılar.

Kaspersky Lab şifre açan anahtarların kullanılırlığı ile ilgili düzenlenen programlı toplantıda “Jaff’in günümüze kadarki tüm varyantlarının kodlarında bir açık bulduk. Bu sayede artık kullanıcıların dosyalarını (.jaff, .wlu ya da .sVn uzantılı) ücretsiz olarak kurtarmak mümkün” dedi.

Jaff ilk olarak geçtiğimiz ay tespit edilmişti. O zamanlar Necurs’ün botnetleri tarafından yayılıyordu. Necurs Botnet, Locky ve Dridex saldırılarının arkasındaki botnettir (botnet, siber suçluların kendi yazılımlarını enjekte ettikleri makinelerden oluşan ağa verilen isimdir). Yapılan saldırılarda fidye yazılımının ilk yükleyicisi olarak işlev gören PDF dosyasına gömülü Microsoft Word belgelerinin olduğu yoğun reklam saldırıları düzenlenmişti.

Araştırmacılara göre eğer alıcılar Word macrosunun eklendiği PDF uzantılı dosyaları indirip çalıştırmışlarsa, aynı zamanda fidye yazılımını da indirmiş oluyorlar. Yazılım makineye indikten sonra yapımcılar, şifrenin verilmesi için 0.5 ile 2 bitcoin (yaklaşık 1.500-2.000$ arasında) fidye talebinde bulunuyorlar.

Bu ayın başlarında araştırmacıların yaptıkları açıklama ile bu fidye yazılımı ortaya çıkmıştı. Açıklamaya göre buldukları yazılım üzerinde çalıntı banka ve kredi kartı bilgileri satışı yapılan bir karaborsa ile ilişkili C2 geri-uç alt yapısı vardı.

Fidye yazılımından en çok etkilenen ülkeler arasında Çin, Hindistan, Rusya, Mısır ve Almanya bulunuyordu.

Şifrelenen dosyaların açılmasını sağlayan ücretsiz yazılım RakhniDecryptor (Version 1.21.2.1) adresine yüklendi.

Kaspersky Lab daha önce Coinvault, TeslaCrypt, Wildfire ve Crybola gibi fidye yazılımı çeşitleri için bir çok şifre çözücü anahtar yayınlamıştı. Kullanılabilir olan şifre çözücü araçların bir listesi Kaspersky Lab’ın ‘No Ransom Project’ adlı web sitesinde görülebilir.

More from author

Leave A Reply

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

Related posts

Advertismentspot_img

Latest posts

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım Akçalı Boya ve Kimya San. Tic. A.Ş.'nin en önemli markalarından biri olan Permolit Boya, tüketicilerin ihtiyaçlarına uygun geliştirdiği elyaflı...

YouTube reklamlarında CoinHive JavaScript kripto madencilik kodu tespit edildi

YouTube reklamlarında CoinHive JavaScript kripto madencilik kodu tespit edildi Yeni bir rapora göre, bazı ülkelerde yayınlanan bazı YouTube reklamları, hackerlar tarafından, video izleyicilerinin bilgisayarlarının işlem...

Kara Cuma (Black Friday) çılgınlığı nedir?

Kara Cuma (Black Friday) Şükran Günü’nün (Thanksgiving Day) ertesi sabahında gerçekleşen bir alışveriş çılgınlığıdır. Kara Cuma bu yıl 25 Kasım tarihine denk gelmektedir. Ünlü markalar Kara Cuma’da %80’e varan indirimler...
[tdn_block_newsletter_subscribe title_text="Want to stay up to date with the latest news? " description="V2UlMjB3b3VsZCUyMGxvdmUlMjB0byUyMGhlYXIlMjBmcm9tJTIweW91ISUyMFBsZWFzZSUyMGZpbGwlMjBpbiUyMHlvdXIlMjBkZXRhaWxzJTIwYW5kJTIwd2UlMjB3aWxsJTIwc3RheSUyMGluJTIwdG91Y2guJTIwSXQncyUyMHRoYXQlMjBzaW1wbGUh" input_placeholder="Email address" btn_text="Subscribe" tds_newsletter2-image="8" tds_newsletter2-image_bg_color="#c3ecff" tds_newsletter3-input_bar_display="row" tds_newsletter4-image="9" tds_newsletter4-image_bg_color="#fffbcf" tds_newsletter4-btn_bg_color="#f3b700" tds_newsletter4-check_accent="#f3b700" tds_newsletter5-tdicon="tdc-font-fa tdc-font-fa-envelope-o" tds_newsletter5-btn_bg_color="#000000" tds_newsletter5-btn_bg_color_hover="#4db2ec" tds_newsletter5-check_accent="#000000" tds_newsletter6-input_bar_display="row" tds_newsletter6-btn_bg_color="#da1414" tds_newsletter6-check_accent="#da1414" tds_newsletter7-image="10" tds_newsletter7-btn_bg_color="#1c69ad" tds_newsletter7-check_accent="#1c69ad" tds_newsletter7-f_title_font_size="20" tds_newsletter7-f_title_font_line_height="28px" tds_newsletter8-input_bar_display="row" tds_newsletter8-btn_bg_color="#00649e" tds_newsletter8-btn_bg_color_hover="#21709e" tds_newsletter8-check_accent="#00649e" embedded_form_code="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" tds_newsletter="tds_newsletter1" tds_newsletter1-input_bar_display="" tds_newsletter1-input_border_size="0" tds_newsletter1-title_color="#172842" tds_newsletter1-description_color="#90a0af" tds_newsletter1-disclaimer_color="#90a0af" tds_newsletter1-disclaimer2_color="#90a0af" tds_newsletter1-input_text_color="#90a0af" tds_newsletter1-input_placeholder_color="#bcccd6" tds_newsletter1-input_bg_color="#ffffff" tds_newsletter1-input_border_color="rgba(255,255,255,0)" tds_newsletter1-input_border_color_active="rgba(255,255,255,0)" tds_newsletter1-f_title_font_family="394" tds_newsletter1-f_title_font_size="eyJhbGwiOiI0MiIsImxhbmRzY2FwZSI6IjM2IiwicG9ydHJhaXQiOiIzMCIsInBob25lIjoiMzAifQ==" tds_newsletter1-f_title_font_line_height="1.2" tds_newsletter1-f_title_font_spacing="-1" tds_newsletter1-f_descr_font_family="638" tds_newsletter1-f_descr_font_size="eyJhbGwiOiIxOCIsImxhbmRzY2FwZSI6IjE1IiwicG9ydHJhaXQiOiIxNCIsInBob25lIjoiMTQifQ==" tds_newsletter1-f_descr_font_line_height="1.6" tds_newsletter1-f_descr_font_weight="700" content_align_horizontal="content-horiz-center" tdc_css="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" tds_newsletter1-f_disclaimer_font_family="394" tds_newsletter1-f_disclaimer2_font_family="394" tds_newsletter1-f_input_font_family="394" tds_newsletter1-f_input_font_line_height="3" tds_newsletter1-f_input_font_size="eyJhbGwiOiIxNiIsInBvcnRyYWl0IjoiMTQiLCJwaG9uZSI6IjE0In0=" tds_newsletter1-f_btn_font_family="394" tds_newsletter1-f_btn_font_transform="uppercase" tds_newsletter1-f_btn_font_weight="700" tds_newsletter1-btn_bg_color="#e2687e" tds_newsletter1-btn_bg_color_hover="#172842" tds_newsletter1-f_input_font_weight="" tds_newsletter1-f_title_font_weight="800"]