Jaff ransomware - Come rimuovere?

 

Jaff ransomware virus è un’infezione recentemente individuata che tiene i dati degli utenti in ostaggio fin quando il riscatto richiesto non è stato pagato. Jaff virus non è una variante innovative, dato che segue le stesse strategie utilizzate da precedenti esemplari. E’ stato confermato che è attualmente diffuso in maniera massiccia da un botnet. Quindi fai attenzione quando leggi i messaggi che ti arrivano nei tuoi account email. Il crypto-virus combina la cifratura RSA-2048 con l’algoritmo AES-256 al fine di rendere il recupero dei dati ancora più complicato. Se dovessi ricevere una mail il cui titolo è “Scan_846554573“ o similari, non scaricare i file nm.pdf contenuti tra gli allegati. Questo eseguibile non aprirà alcun contenuto di Adobe Reader ma avvierà dei file nella versione di Microsoft Office che hai installato.

Analisi di questo esemplare di ransomware

Abbiamo già stabilito che la fonte di questa infezione sono le malevole email di spam. Se scaricassi questi allegati e cercassi di lanciarli con Adobe Reader, noteresti che, al loro posto, verranno lanciate delle spiegazioni nominate JDDVDH.docm. In alcuni casi, l’eseguibile si avvierà da solo, senza la partecipazione degli utenti.

Successivamente, sarà visualizzato un Avviso di Sicurezza, nel quale verri informato che il documento è protetto e che dovrai abilitare sia i contenuti che le opzioni di modifica. Questa potrebbe sembrare un’azione normale da eseguire, ma dato che il file .docm è dannoso, avvierà delle macro malevole. Queste installeranno il reale payload di Jaff crypto-virus e lo inseriranno nel sistema operativo.

Il payload potrebbe essere f87346b.exe, 924c84415.exe o 04_pitupi20.exe tutti questi sono stati scoperti per essere stati inseriti da questa infezione specifica. Gli strumenti per la sicurezza indicano che il tesso di rilevamento di questa infezione è del 25 %. Questo crypto-virus sceglierà un numero svariato di file a cui applicare la combinazione di cifratura.

Dopo che I dati digitali saranno stati codificati, l’estensione .jaff sarà allegata in ogni file. Dopo che la cifratura sarà stata conclusa, il ransomware approfitterà della connessione Internet per contattare i loro server C&C, situati nel dominio Fkksjobnn43.org/a5/. Comunque sia, il payload informerà soltanto gli hacker che un altro sistema operativo è stato infettato.

Lo sfondo del desktop sarà anch’esso sostituito con il file WallpapeR.bmp. In alcune cartelle casuali l’infezione inserirà tre note di riscatto che si apriranno con diverse applicazioni. Una di queste, ReadMe.html potrà essere aperta con il tuo browser preferito, mentre ReadMe.txt and ReadMe.bmp dovranno essere lanciate con le giuste applicazioni. Jaff ransomware richieda agli utenti di entrare in un sito TOR, il suo design sembra essere copiato Locky. Gli ID individuali delle vittime saranno necessari per accedere a questi siti.

Richiesta di riscatto e possibili metodi per la decodifica

Alcune delle vittime hanno indicato che gli è stato richiesto di pagare 1.82196031 BTC il che si traduce in circa 3253.53 dollari americani! Questo è già un prezzo assurdo, ma è possibile che in altri casi, siano state richieste somme ancora più alte. 2 BTC (circa 3577.76) potrebbe essere anche questa la fee per la decodifica dei file. Comunque sia, non consigliamo di sperperare questa montagna di soldi. Se fossi stati colpito da questa variante, contatta subito degli affidabili ricercatori per la sicurezza che potranno aiutarti a decifrare i file gratuitamente. Fabian Wosar lavora a stretto contatto con questi problemi e potrebbe esserti di aiuto. In molti casi, la decodifica dei file potrebbe richiedere dei tempi lunghi quindi ti consigliamo di contattare i ricercatori per la sicurezza non appena possibile.

Per il future: ricordati di salvare sempre i tuoi file in dischi di backup. Anche le penne USB possono essere dei dispositivi di sicurezza dove tenere le tue preziose informazioni digitali. Questa è una decisione che potrebbe salvarti la vita nel caso in cui dovresti affrontare un ransomware.

Come si diffonde questo ransomware?

Abbiamo già parlato nei precedenti paragrafi di questo argomento. Abbiamo detto che le campagne di spam malevoli vengono scelte per distribuire questo crypto-virus. Al fine di trasmettere con successo questi messaggi, è stato scelto per questo lavoro un botnet (Necurs). Se avessi ricevuto delle email che sembrano similari a quelle descritte all’inizio di questo articolo, cancellale dalla tua casella immediatamente. Non dovremmo però ignorare gli altri metodi che questo ransomware sfrutta per la sua distribuzione. Questi includono, distribuzione tramite annunci malevoli, siti o social network corrotti.

Prima di provare a recuperare i file, dovrai rimuovere l’infezione. Reimage, Spyhunter o Malwarebytes potrebbero essere gli strumenti giusti che ti aiuteranno ad uscire da questa situazione compromettente.

Come rimuovere Jaff ransomware utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che Jaff virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di Jaff Decryption System ransomware

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a Jaff ransomware.

3. Ripristino dei file corrotti da Jaff virus utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Jaff Decryption System ransomware cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di Jaff ransomware rimozione automatica

 

Altri strumenti

 
  0   0
    Malwarebytes Anti-Malware
 
  Scarica Reimage per Jaff ransomware rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come Jaff ransomware e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Jaff ransomware screenshots

 
           
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *