Ransomware Jaff nimmt deutsche Nutzer ins Visier

Die Polizei Niedersachsen warnt vor einer neuen Ransomware namens Jaff, die derzeit auch in Deutschland verteilt wird. Sie wird demnach aktuell „verstärkt per E-Mail verschickt“. Die Erpressersoftware selbst steckt in einer Word-Datei, die wiederum an eine PDF-Datei angehängt ist.

Die Ransomware Jaff präsentiert ihren Opfern lediglich eine kurze Anleitung zur Entschlüsselung ihrer Dateien (Screenshot: LKA Niedersachsen)In der Regel soll der Betreff „Invoice“ die Aufmerksamkeit der Nutzer wecken. Der kurze Text der E-Mail fordert lediglich dazu auf, die angehängte PDF-Datei zu öffnen. Diese enthält jedoch nicht die angekündigte Rechnung, sondern ein Word-Dokument, das per JavaScript geöffnet werden soll – was der Nutzer zuerst bestätigen muss.

Einer Infektion mit Jaff steht dann allerdings noch eine weitere Hürde im Weg. Nutzer müssen das in das Word-Dokument eingebettete Makro ausführen, wovor Microsoft Word jedoch ausdrücklich warnt. Wird dieser Hinweis ignoriert, lädt das Makro die eigentliche Ransomware herunter, die dann auch automatisch ausgeführt wird.

Danach beginnt Jaff im Hintergrund mit der Verschlüsselung von Dateien, die mit der Endung „.wlu“ versehen werden. Zudem wird in jedem Ordner eine Anleitung zur Entschlüsselung der Dateien in den Dateiformaten html, txt und png gespeichert. Die eigentliche Lösegeldforderung präsentieren die Cyberkriminellen ausschließlich auf einer Onion-Site, die nur über den Tor-Browser aufgerufen werden kann.

Den Jaff Decryptor bieten die Cyberkriminellen gegen Zahlung von rund 700 Euro in Bitcoins an (Screenshot: ZDNet.de).Dort bieten die Hacker einen Jaff-Decryptor zum Kauf an, der in der Lage sein soll, alle Dateien zu entschlüsseln. Um das geforderte Lösegeld von 0,35826226 Bitcoin – was rund 700 Euro entspricht – bezahlen zu können, müssen Opfer zudem eine eigene Bitcoin-Wallet registrieren.

Die Polizei Niedersachsen geht davon aus, dass Jaff trotz der zu überwindenden Warnhinweise auch hierzulande Opfer finden wird. Dazu trägt wahrscheinlich auch der umständliche Infektionsweg bei. Den Ermittlern zufolge kann der Umweg über die PDF-Datei nämlich helfen, das schädliche Makro im Word-Dokument vor einer Erkennung durch Antivirensoftware zu schützen.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

21 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

23 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago