Дешифровщик .jaff, .wlu и .sVn (вирус Jaff)⁠⁠

Jaff шифрует файлы и добавляет расширения .jaff, .wlu и .sVn, требует выкуп 1,79 биткоина, то есть порядка $4000.

Через диспетчер задач вырубаем процесс вируса. Как правило произвольное имя процесса. Для примера было SKM_C224e9930.exe

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Качаем декриптор с сайта каспера http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhn...

Утилита предложит выбрать зашифрованный файл с расширением .jaff, .wlu или .sVn, далее попросит выбрать текстовый файл с требованием выкупа.

Утилита просканирует весь компьютер и расшифрует файлы (может занять длительное время).

По завершении сканирования будет такая картина:

Печаль в том что вместе с расшифрованными файлами останутся их зашифрованные копии.

Дополнительная инфа https://www.bleepingcomputer.com/news/security/decrypted-kas...

Ранее о дешифровщиках: http://pikabu.ru/story/spisok_dekriptorov_faylov_posle_zaraz...

184

Информационная безопасность IT

1.4K постов25.5K подписчика

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Вы смотрите срез комментариев. Показать все

OriginPomidorka

6 лет назад

Быдло добралось до крипты. Почему 4к грина? За каким хуем такой прайс ломить если шифрует систему обычного юзера. Что-за скотская жадность? Залочить и ждать 4к? Типа хоть 1 или 2 заплатят?Да хуй там плавал. 100 долларов может быть по глупости кто-то скинет, но не 4 касаря.

раскрыть ветку (15)

BOMBERuss

6 лет назад

Не думаю что разработчики шифровальщиков рассчитывают на "обычных юзеров".

раскрыть ветку (14)

OriginPomidorka

6 лет назад

к необычным юзерам они не попадают, поскольку в 999 случаев из 1000 это просто топорная работа долбаеба для долбаебов написанные под копирку с уже известного и намутившего хайпа локера

раскрыть ветку (6)

BOMBERuss

6 лет назад

Как правило попадают данные зловреды к теткам в бухгалтерии на фирме где продают кирпичи. А там, извини меня, базы 1С например.

раскрыть ветку (5)

HAKOHE

6 лет назад

Ну, серьезные бухгалтерии защищены серьезно, а несерьезные - несерьезно. Но например мои бывшие бухи не родят 4к грина, и тупо будут восстанавливать данные с бумажных копий, и баз контрагентов. Ну, и конечно, начальство, зажмотившее бабло на IT, даст им небольшую премию за этот героизм.

раскрыть ветку (4)

ToEst

6 лет назад

Ну, и конечно, начальство, зажмотившее бабло на IT, даст им небольшую премию за этот героизм.

Очень маловероятно )

раскрыть ветку (3)

BOMBERuss

6 лет назад

Согласен)))) Еще и оштрафуют за рукожопство (чтобы не открывали чего не надо)

раскрыть ветку (2)

HAKOHE

6 лет назад

Да они могут быть и не при делах, например письмо открыла секретарша Леночка и заразила всю контору!)
Ну шеф конечно секретаршу накажет, но бухи-то не виноваты?

раскрыть ветку (1)

BOMBERuss

6 лет назад

Не поверишь - 1С базы зашифрованы у бухгалтеров, а следовательно виноваты они)))) Логика любого начальства. Увы и ах.

MeinArschBrennt

6 лет назад

Тем не менее, та атака WannaCry 300-600 баксов вымогала, никак не 4к. А та хрень заразила отнюдь не обычных юзверов. И заражались отнюдь не через открытие файлов по незнание, а вообще без ведома.

Вообще несравнимый уровень.

раскрыть ветку (6)

BOMBERuss

6 лет назад

Раз #comment_89775472

Учим матчасть #comment_89749816

раскрыть ветку (5)

MeinArschBrennt

6 лет назад

Какую матчасть?

https://geektimes.ru/post/289115/

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.

https://habrahabr.ru/company/pentestit/blog/328606/

Динамический анализ показал, что объекты закрепляются в ОС либо напрямую, либо через извлеченный исполняемый файл “tasksche.exe”

Это блджад эксплоит уязвимости SMB Server, простукивали порты по диапозону IP адресов. Находится открытый порт 445 - GGWP. Другое дело, что если компьютеры сидят за NAT и/или не имеют "белого" IP, то нужен компьютер "носитель" в локалке. Да, подавляющее большинство компьютеров отсеивается, но это отнюдь не 100%. И разработчики этого зловреда просили более реальную сумму, несмотря на уровень возможности вирусни (там и сам вирус очень непрост).

раскрыть ветку (4)

BOMBERuss

6 лет назад

Противоречишь сам себе?

И заражались отнюдь не через открытие файлов по незнание

Носитель в локалке заражался именно через открытие

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.

Да потому что он сам себе его посадил, а не из почты. И в целях исследования.

И простукивать он начинал после того как сел на ОСь из письма.

раскрыть ветку (3)

MeinArschBrennt

6 лет назад

Противоречишь сам себе?

Нет, это ты пытаешься меня поймать на противоречии. Я утверждал, что не было необходимости НИЧЕГО открывать. Вообще. Передача через локалку делала вообще все компьютеры без соответствующего патча уязвимым, и да, там ТОЖЕ ничего не надо было открывать "носителю". Тем более, если есть локалка с подсетью со "смотрящими" в сеть компьютерами.

https://geektimes.ru/post/289115/#comment_10060165

https://geektimes.ru/post/289115/#comment_10060131

А комменты от самого автора статьи, статью в вики или анализ вируса от каспера/Pentestit почитать не хочешь? Автор специально поднял вообще чистую систему ради интереса во время волны, и получил вирус без локалок и писем. Где ты про письмо хоть что-то увидел?

Ну спор ни о чем же. Все уже разобрано достаточно авторитетными компаниями по полочкам.

раскрыть ветку (2)

BOMBERuss

6 лет назад

Он же поднимал винду в локалке, где уже сидит носитель, поэтому и получил заражение сразу...

Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.

В статье он сам в замешательстве

Если у вас есть похожие случаи, поделитесь информацией о них.

Да и это вторая версия вируса. Кстати еще и третья была.

раскрыть ветку (1)

MeinArschBrennt

6 лет назад

Да не было там локалки. Он же сам об этом пишет. Только морда, смотрящая в сеть и абсолютно голая система без нихера. Вот вообще. Он раза два или три в комментах на вопрос о локальной сети и содержимом винды отвечал. Я ж кидал ссылки на сами комменты автора.

Угу, про вторую и говорим. Кстати, она же ещё и не ломается, насколько я знаю.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку