今天的新聞報導了政府攔截到新加密勒索軟件 Jaff 的消息,在剛剛經歷完 WannaCry 腥風血雨般的洗禮後,「加密勒索」四隻字觸動不少人的神經,有如驚弓之鳥。不過各位先別過份緊張,首先,Jaff 並沒有利用 Windows 的漏洞進行散播,反而更像去年 Locky,透過彊屍網絡(Botnet)散播釣魚電郵,只是規模達到每小時 500 萬封而已…..
Jaff 的傳播
其實 Jaff 早在上星期已經被研究人員偵測到,時間和大家熟識的 WannaCry 相約。Jaff 利用 C 語言所編寫,主要透過彊屍網絡 Necurs 進行傳播,該網絡現時大約控制了全球 600 萬台受感染的電腦,以大約每小時 500 萬封的速度,發送附有 PDF 附件的釣魚電郵,如果用戶執行該檔案,背後含有惡意巨集的 Word 文件便會執行下載 Jaff 加密勒索軟件的指令。在惡意電郵散播活動的第一個早上,已經被研究人員紀錄和封鎖超過1,300萬封釣魚電郵。
離線仍然能夠加密
Jaff 針對的當案類型總共 423 種,而且無需倚靠 C&C 伺服器,可以在離線的還境下進行加密的工作,受影響的檔案副檔名會變成 .jaff。當所有加密動作完成,勒索軟件便會展示勒索訊息,包括所有受影響的資料夾,還有用戶的桌面背景。
勒索 1.79 比特幣
勒索訊息只通知用戶,檔案已經被加密,至於贖金的資料,則要求用戶進入匿名網站瀏覽。根據網站的資料,黑客要求受影響用戶繳付 1.79 比特幣贖金(約 3,150 美元)。
幕後黑手可能與 Locky 有關
研究人員認為,勒索軟件 Jaff 有可能出自 Locky、Dridex 和 Bart 等惡意程式的相同組織。被 Jaff 影響的受害者遍佈全球,爆發初期則主要集中在英國、美國、愛爾蘭、比利時、意大利、德國、荷蘭、法國、墨西哥和澳洲等地方。
防護 Jaff 加密勒索軟件
對付 Jaff 這種較為傳統的傳播方法,用戶自己的小心謹慎十分重要,建議留意以下幾項重點:
1. 不要打開可疑電郵的附件和點擊連結。
2. 關閉 Microsoft Office 的巨集功能。
3. 定期備份檔案,並把備份存放在外置裝置。
4. 安裝可靠的防毒軟件,並且定期執行軟件和系統更新。
資料來源:Threatpost
