Holen Sie sich ein vollständiges Sicherheitsprofil der neuen Jaff -Variante der Locky Ransomware und erfahren Sie Optionen zur Datenwiederherstellung, die das Bitcoin-Lösegeld aus der Gleichung werfen können.
Ein neues Muster einer Datei-verschlüsselnden Ransomware, die höchstwahrscheinlich ein Ableger der Locky-Infektion ist, gewinnt derzeit an Dynamik in ihrer Verteilung. Diese Bedrohung ist benannt Jaff nach der Erweiterung, die es an jeden verschlüsselten Eintrag anhängt, sie teilt mit ihren Vorgängern einiges an Charakter und es gibt aber zugleich auch ein paar grundlegende Unterschiede. Was die äußere Manifestation angeht, hat der Neuling ein eigene Dateimarkierung. Die ins Ziel genommenen Dateien auf dem Computer eines Opfers werden mit der .jaff Endung versehen. Versions-spezifische Datei-Token neigen dazu, sich mit jeder neuen Ausgabe von Locky zu ändern.
Der Lösegeldbrief, der eine Schritt für Schritt Anweisung für die Datenentschlüsselung enthält, heißt nun ReadMe.txt, ReadMe.bmp und ReadMe.html. Die Infektion wirft eine Kombination dieser Anleitungen in jedes verschlüsselte Verzeichnis und auf den Desktop, und ergänzt so die ruchlose Anleitung mit Wiederherstellungs-Anweisungen, die den größeren Teil des Desktop-Hintergrund in Beschlag nehmen. Die Formulierung dieser Hilfedateien hat sich gegenüber den vorherigen Ausgaben der Ransomware geändert. Diesmal lauten sie, „Jaff Decryptor System. Dateien sind verschlüsselt! Um Dateien zu entschlüsseln, müssen Sie sich den privaten Schlüssel besorgen. Die einzige Kopie des privaten Schlüssels, mit der Sie Ihre Dateien entschlüsseln können, befindet sich auf einem geheimen Server im Internet.“
Die Stärke der Datenverschlüsselung der Jaff Ransomware dreht sich um die Verwendung des AES-128 symmetrischen kryptographischen Algorithmus. Da die Chiffrierimplementierung fehlerlos ist, stellt die Ransomware ein ernstes Hindernis für rohe- und forensische Methoden der Informationsgewinnung dar. Aber bevor der Schädling zur Krypto-Phase kommt, lässt er einen Scan für die wichtigen Daten des Opfers im Hintergrund laufen. Das Jaff-Virus ist mit einer eingebauten Liste von gezielten Dateierweiterungen ausgestattet, so dass es wahrscheinlich nicht möglich ist, dass potenziell wertvolle Dokumente, Videos, Bilder, Datenbanken oder andere Sachen, die in einem weit verbreiteten Format gespeichert sind, ausgelassen werden. Dann, nachdem die Codierung abgeschlossen ist, hinterlässt die Infektion eine Reihe von unzugänglichen Objekten. Im Gegensatz zu früheren Locky-Editionen wirkt sich dies nicht auf die Dateinamen aus. Stattdessen verkettet es nur die stamm-spezifische Erweiterung, so dass eine Beispieldatei Document.pdf in Document.pdf.jaff umgewandelt wird.
Dieses aggressive Programm macht durch bösartigen Spam die Runden, der durch das Necurs-Botnetz erzeugt wird, das gleiche, das die großräumige Zirkulation anderer Locky-Varianten unterstützte. In der aktuellen Malspam-Welle erhalten gezielte Verwendungen E-Mails mit dem Betreff Copy_ [zufällige Ziffern], File_ [zufällige Ziffern], Document_ [zufällige Ziffern] oder ähnliches. Der Anhang heißt nm.pdf. Wenn der geöffnet wird, löst es eine Microsoft Word-Datei aus, die besagt, dass das Dokument geschützt ist und weist den Empfänger an, Inhalte oder Makros zu aktivieren. Sobald ein unerwünschter Benutzer dies tut, wird Jaff automatisch auf der Maschine ausgeführt.
Die Nachwirkungen des Angriffs involvieren einen Online-Entschlüsselungspunkt, was eine Ressource namens Jaff Decryptor System ist. Es ist absichtlich eine Replik der Locky Decryptor Seite. Es ist durch das Onion Router Anonymität-Tool geschützt, so dass Opfer es mit der entsprechenden Software namens Tor Browser besuchen müssen. Der Link zu dieser Seite ist für jeden infizierten Benutzer einzigartig – er wird in den Lösegeldnotizen zusammen mit der persönlichen ID des Opfers angezeigt. Der Arbeitsablauf der Wiederherstellung umfasst mehrere Schritte: Registrierung einer Bitcoin-Wallet, wenn das Opfer noch keins verwendet; der Kauf von 2.03 BTC (derzeit im Wert von etwa 3.600 USD); Senden dieses digitalen Bargeld an eine bestimmte Bitcoin-Adresse; und schließlich, die Seite zu aktualisieren, um den automatischen Entschlüsseler herunterzuladen. Obwohl dieses Schema nach Angaben in den meisten Fällen funktioniert, wird dringend empfohlen, zuerst alle möglichen Alternativen auszuprobieren. Zwar ist die Jaff-Ransomware so programmiert, dass sie Volume Shadow-Kopien aller verschlüsselten Dateien löschen soll, dieser Versuch könnte aber auch nicht gelingen. Daher sind Versuche, frühere Versionen der durcheinandergebrachten Datenelemente wiederherzustellen, sinnvoll. Lesen Sie diese Anleitung weiter, um zusätzliche beste Praxis-Tipps zu erfahren, wie man mit der Jaff-Version der Locky Ransomware Pest umgeht.
Entfernung des Jaff Virus mit einem automatischen Bereinigungsprogramm
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Jaff Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Erhalten Sie die verschlüsselten Dateien zurück
Es wurde bereits erwähnt, dass Jaff eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Jaff die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Jaff verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Überprüfen Sie Ihren Computer auf Rückstände der Jaff Infektion
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Jaff Ransomware Scanner und Entferner herunter