Ransomware Jaff nimmt deutsche Nutzer ins Visier

Die Polizei Niedersachsen warnt vor einer neuen Ransomware namens Jaff, die derzeit auch in Deutschland verteilt wird. Sie wird demnach aktuell „verstärkt per E-Mail verschickt“. Die Erpressersoftware selbst steckt in einer Word-Datei, die wiederum an eine PDF-Datei angehängt ist.

Die Ransomware Jaff präsentiert ihren Opfern lediglich eine kurze Anleitung zur Entschlüsselung ihrer Dateien (Screenshot: LKA Niedersachsen)In der Regel soll der Betreff „Invoice“ die Aufmerksamkeit der Nutzer wecken. Der kurze Text der E-Mail fordert lediglich dazu auf, die angehängte PDF-Datei zu öffnen. Diese enthält jedoch nicht die angekündigte Rechnung, sondern ein Word-Dokument, das per JavaScript geöffnet werden soll – was der Nutzer zuerst bestätigen muss.

Einer Infektion mit Jaff steht dann allerdings noch eine weitere Hürde im Weg. Nutzer müssen das in das Word-Dokument eingebettete Makro ausführen, wovor Microsoft Word jedoch ausdrücklich warnt. Wird dieser Hinweis ignoriert, lädt das Makro die eigentliche Ransomware herunter, die dann auch automatisch ausgeführt wird.

Danach beginnt Jaff im Hintergrund mit der Verschlüsselung von Dateien, die mit der Endung „.wlu“ versehen werden. Zudem wird in jedem Ordner eine Anleitung zur Entschlüsselung der Dateien in den Dateiformaten html, txt und png gespeichert. Die eigentliche Lösegeldforderung präsentieren die Cyberkriminellen ausschließlich auf einer Onion-Site, die nur über den Tor-Browser aufgerufen werden kann.

Den Jaff Decryptor bieten die Cyberkriminellen gegen Zahlung von rund 700 Euro in Bitcoins an (Screenshot: ZDNet.de).Dort bieten die Hacker einen Jaff-Decryptor zum Kauf an, der in der Lage sein soll, alle Dateien zu entschlüsseln. Um das geforderte Lösegeld von 0,35826226 Bitcoin – was rund 700 Euro entspricht – bezahlen zu können, müssen Opfer zudem eine eigene Bitcoin-Wallet registrieren.

Die Polizei Niedersachsen geht davon aus, dass Jaff trotz der zu überwindenden Warnhinweise auch hierzulande Opfer finden wird. Dazu trägt wahrscheinlich auch der umständliche Infektionsweg bei. Den Ermittlern zufolge kann der Umweg über die PDF-Datei nämlich helfen, das schädliche Makro im Word-Dokument vor einer Erkennung durch Antivirensoftware zu schützen.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.