Ransomware Jaff nimmt deutsche Nutzer ins Visier

Die Polizei Niedersachsen warnt vor einer neuen Ransomware namens Jaff, die derzeit auch in Deutschland verteilt wird. Sie wird demnach aktuell „verstärkt per E-Mail verschickt“. Die Erpressersoftware selbst steckt in einer Word-Datei, die wiederum an eine PDF-Datei angehängt ist.

Die Ransomware Jaff präsentiert ihren Opfern lediglich eine kurze Anleitung zur Entschlüsselung ihrer Dateien (Screenshot: LKA Niedersachsen)In der Regel soll der Betreff „Invoice“ die Aufmerksamkeit der Nutzer wecken. Der kurze Text der E-Mail fordert lediglich dazu auf, die angehängte PDF-Datei zu öffnen. Diese enthält jedoch nicht die angekündigte Rechnung, sondern ein Word-Dokument, das per JavaScript geöffnet werden soll – was der Nutzer zuerst bestätigen muss.

Einer Infektion mit Jaff steht dann allerdings noch eine weitere Hürde im Weg. Nutzer müssen das in das Word-Dokument eingebettete Makro ausführen, wovor Microsoft Word jedoch ausdrücklich warnt. Wird dieser Hinweis ignoriert, lädt das Makro die eigentliche Ransomware herunter, die dann auch automatisch ausgeführt wird.

Danach beginnt Jaff im Hintergrund mit der Verschlüsselung von Dateien, die mit der Endung „.wlu“ versehen werden. Zudem wird in jedem Ordner eine Anleitung zur Entschlüsselung der Dateien in den Dateiformaten html, txt und png gespeichert. Die eigentliche Lösegeldforderung präsentieren die Cyberkriminellen ausschließlich auf einer Onion-Site, die nur über den Tor-Browser aufgerufen werden kann.

Den Jaff Decryptor bieten die Cyberkriminellen gegen Zahlung von rund 700 Euro in Bitcoins an (Screenshot: ZDNet.de).Dort bieten die Hacker einen Jaff-Decryptor zum Kauf an, der in der Lage sein soll, alle Dateien zu entschlüsseln. Um das geforderte Lösegeld von 0,35826226 Bitcoin – was rund 700 Euro entspricht – bezahlen zu können, müssen Opfer zudem eine eigene Bitcoin-Wallet registrieren.

Die Polizei Niedersachsen geht davon aus, dass Jaff trotz der zu überwindenden Warnhinweise auch hierzulande Opfer finden wird. Dazu trägt wahrscheinlich auch der umständliche Infektionsweg bei. Den Ermittlern zufolge kann der Umweg über die PDF-Datei nämlich helfen, das schädliche Makro im Word-Dokument vor einer Erkennung durch Antivirensoftware zu schützen.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago