Allvarlighets skala:  
  (99/100)

Jaff ransomware. Hur tar man bort? (Avinstallera guide)

av Alice Woods - - | Typ: Gisslanprogram

Det fruktade Jaff ransomware kan nu dekrypteras

The image of Jaff ransomware

Jaff ransomware är ett krypteringsvirus som sprids via botnätet Necurss a crypto-malware that is distributed via Necurs botnet. Viruset angriper minst 423 filtyper och krypterar dem med avancerade chiffer. Under denna process lägger viruset till någon av filändelserna .jaff, .wlu eller .sVn. efter den ursprungliga filändelsen.

Viruset sparar sedan filen ReadMe.bmp och ställer in den som skrivbordsbild och laddar upp ett ransom-meddelande. För att se vilken version av detta ransomware som har infekterat din PC, se över följande lista över filändelser och filnamn på ransom-meddelanden:

  • Den ursprungliga versionen av detta ransomware lägger till filändelsen .jaff och ransom-meddelandet under filnamnet ReadMe.txt, ReadMe.bmp and ReadMe.html;
  • Den andra versionen av Jaff Decryption System lägger till filändelsen .wlu och ransom-meddelandet under filnamnen README_TO_DECRYPTl.txt, README_TO_DECRYPTl.bmp och README_TO_DECRYPT.html
  • Den tredje versionen lägger till filändelsen .sVn och ransom-meddelandet under filnamnen !!!!README_FOR_SAVE FILES.txt och !!!SAVE YOUR FILES.bmp eller !!!!!SAVE YOUR FILES!!!!.txt and !!!SAVE YOUR FILES!.bmp.

Den skadliga nyttolasten kommer som ett mejl som innehåller en PDF-bilaga. Om man öppnar denna fil, laddas ettt inbyggt MS Word-dokument (.docm) som frågar om man vill tillåta makros för att kunna se innehållet. Om man godkänner detta, frigörs och aktiveras viruset. Sedan påbörjar viruset datakrypteringen som är inriktad på 423 olika filtyper. Det använder en kombination av krypteringsalgoritmerna RSA och AES och lägger till en viss filändelse på varje krypterad fil.  

Efter krypteringen, laddar viruset ner ransom-meddelanden med information om ransomware-attacken. Bildfilen (BMP) ställs in som datorns skrivbordsbild och informerar om Jaff Decryptor System. De två andra filerna innehåller ett meddelande om att offren måste överföra 2 Bitcoins för att kunna återställa sina filer. Men att köpa dekrypteraren från dessa nätbrottslingar kan sluta med enbart en ekonomisk förlust och ingen återställning. 

Om du har drabbats av en ransomware-attack, ska du fokusera på att ta bort viruset. Så läge som viruset finns kvar i systemet, är både din dator och integritet i fara. Ta bort Jaff ransomware med hjälp av ett ansett antisabotageprogram, såsom Reimage. Först därefter kan du börja söka efter metoder för dataåterställning.

VIKTIGT. Victims De som har infekterats med någon av de tre första Jaff-versionerna – med filändelserna .wlu, .jaff eller .sVn – kan nu dekryptera filer GRATIS tack vare Kaspersky-teamet. För att dekryptera filer, ladda ner dekrypteringsprogrammet via länken nedan bland instruktionerna för dataåterställning.  

Jaff ransomware liknar virusen Locky och Dridex då det använder samma Necurs-skräppost som sin huvudsakliga spridningsmetod. Däremot påvisar Jaffs struktur att det inte är relaterat till dessa virus, även om betalsidan nästintill är identisk med Lockys. Utvecklarna av Jaff har bara tagit ett fåtal egenskaper från dessa lyckade ransomware-projekt.  

Som redan nämnt, innehåller det infekterade mejlet en bifogad PDF-fil som öppnar en DOCM-fil. Om man klickar på knappen ”Tillåt innehåll”, aktiveras det skadliga skriptet som finns i den filen och sedan laddas olika filer ner som behövs för att aktivera och initiera Jaff-viruset.

När ett filkrypteringsvirus har aktiverats, ansluter det till sin kommando- och kontrollserver och informerar om en nyligen attackerad enhet. Servern svarar med order ”Skapad” och sedan påbörjas krypteringsprocessen. Viruset krypterar allt förutom systemfiler och andra viktiga filer som behövs för att hålla igång datorn.

Jaff är också utvecklat för att radera skuggvolymkopior av de angripna filerna. Det kör då kommandot vssadmin.exe delete shadows /all /Quiet, vilket gör det i stort sett omöjligt att återställa data utan en särskild dekrypteringsnyckel. Viruset placerar ransom-meddelanden i varje mapp som innehåller krypterade filer. Dessa meddelanden informerar om hur man kan erhålla en dekrypteringsnyckel. 

Ett ransom-meddelande innehåller också offrets unika ID ocn en länk till betalsidan som endast kan nås via webbläsaren TOR. På betalsidan finns information om hur man köper Bitcoins och hur man överför dessa till den angivna adressen för att erhålla dekrypteringsnyckeln. Jaff ransomware begär en lösensumma på 1.82 BTC, medan de senaste versionerna begär 2 BTC.

Dessvärre finns det ingen garanti för att bedragarna kommer att ge dig tillgång till Jaff Decryptor. De är endast intresserade av dina pengar. Så du bör inte ta risken att förlora 3000 $ och göra affärer med bedrägliga människor.

Men om du har säkerhetskopior, kan du skatta dig lycklig, eftersom de för tillfället utgör det enda sättet att återställa dina filer. Om du saknar sådana, är chansen liten att du kan få tillbaka dina filer. Bara för den skull ska du inte betala lösensumman. 

Istället för att ta risken att förlora tusentals dollar, ska du fokusera på att ta bort Jaff-viruset. Efter att du har gjort detta, kan du testa olika metoder för att återställa åtminstone några av dina filer eller vänta tills en officiell dekrypterare finns tillgänglig. 

Image of new Jaff variant

Detaljerad analys av Jaffs spridningsmetoder 


Jaff-viruset använder botnätet för att sprida skadliga skräpmejl som innehåller ett infekterat PDF-dokument. Som redan nämnt, har denna metod också använts för att sprida Locky. Nätfiskemejlet har en ämnesrad som består av någon av följande ord plus slumpmässiga siffror, till exempel: Copy_0504747, PDF_57583, Scan_15467085, Your Invoice # 87871 or File_2227958. Dessa mejl innehåller en PDF-bilaga med namnet “nm.pdf” och ger en mängd olika anledningar till varför man bör öppna denna. 

En skräpmejlskampanj kan till exempel be dig att göra två kopior av filen. Om en användare luras till att öppna denna PDF-fil, uppmanas denne att öppna en inbyggd DOCM-fil. Beroende på vilken PDF-läsare du har installerad på den angripna enheten, öppnar filen antingen en DOCM-fil automatiskt eller så ber den dig att öppna den.

Om du öppnar Word-filen, får du ett meddelande om att detta dokument är skyddat och att du måste klicka på knappen ”Tillåt innehåll”. Knappen gömmer ett skadligt makro-kommando som är utformat för att ansluta till en skadlig domän som laddar ner ransomware-relaterade filer för att aktivera Jaff Decryption System.

Så om du inte förväntar dig ett dokument eller en fil, ska du aldrig öppna någon suspekt e-postbilaga. Innan du öppnar bifogade filer, måste du se till att du känner till avsändaren och att denna är tillförlitlig. Om så inte är fallet, ska du omedelbart radera mejlet. 

Ovannämnda metod användes för att sprida ransomware-varianterna .jaff och .wlu. Men sedan den 13 juni 2017 har utvecklarna ändrat metod något och börjat att skicka skräppost med .sVn-virusversionen. De använder liknande ämnesrader som tidigare, d.v.s. Invoice PIS1314074, Invoice PIS8938690 etc. 

Mejlen innehåller en ZIP-fil med namnet invoicepis8938690.zip, invoicepis9587975.zip eller liknande. Denna innehåller i sin tur en annan ZIP-bilaga med namnet HF4YIDIIL.zip, B9UHRNO5.zip eller liknande. Genom att zippa den andra mappen frigörs en Windows-skriptfil i systemet med samma namn som den föregående ZIP-mappen, alltså B9UHRNO5.wsf, HF4YIDIIL.wsf eller liknande. Om man sedan öppnar .wsf-filen, aktiveras ett skript som är anslutet till en skadlig domän som laddar ner den farliga nyttolasten.  

Jaff ransomware kan också spridas via sociala nätverk och fildelningssidor. Därmed kan du få en länk från en vän (eller okänd person) som föreslår att du ska kolla på en video eller bild. Innan du klickar på en sådan länk, ska du alltid se till att den är säker att öppna. Du kan till exempel fråga din vän om han eller hon har skickat länken eller inte. Vidare kan viruset också marknadsföras som ett användbart program på olika P2P-nätverk. Om du behöver installera ett visst program, ska du undvika okända nedladdningssidor. Välj alltid utvecklarens officiella webbsida för att förhindra installation av skadliga program. 

Uppdatering, maj 2017: ny design och användning av filändelsen .wlu 

Den andra vågen av Jaff-viruset har slagit till mot nätet och denna gång verkar viruset har gjort några justeringar. Till att börja med, ser denna version helt annorlunda ut mot originalet. Utvecklarna kallar detta nya virus för ”Jaff Decryptor” istället för det ursprungliga “Jaff decryptor system” och har gjort ändringar av den övergripande utformningen av ransom-meddelandet och betalasidan. 

Viruset ser nu mycket mer professionellt ut än tidigare, men det är inte bara visuellt som det har ändrats. Det har också gjort ändringar i sin källkod: den nya filändelsen .WLU har lagts till i listan över ovanliga filändelser.  

Vad som inte har förändrats är dock spridningsmetoden. Viruset sprids fortfarande genom skadliga skräppostkampanjer, där utvecklarna försöker att lura användare till att ladda ner viruset genom att maskera det som en faktura. Ämnesraderna för dessa filer är i stil med Copy of Invoice 99483713 (”Kopia av faktura”) eller Invoice(58-0710) (”Faktura”). Vänligen notera att siffrorna kan variera för varje individuell attack. Så var försiktig och ladda inte ner några filer som du har fått från okända avsändare eller generellt otillförlitliga källor. 

Uppdatering, juni 2017: ny Jaff-variant använder filändelsen .sVn

”Ny månad, ny filändelse” verkar vara Jaff-utvecklarnas motto. Forskare har hittat en ny variant som lägger till filändelsen .sVn på krypterade filer. Upptäckten gjordes av Derek Knight, en säkerhetsforskare som har undersökt falska skräpmejl mottagna från kopieringsmaskiner på de potentiella offrens företag. 

Dessa mejl har ämnesrader såsom Message from KM_C224e och en bilaga med namnet  SKM_C224e54955163156.zip som innehåller en skadlig programfil. Om programfilen aktiveras, laddas viruset ner och börjar att kryptera filer varpå det lägger till filändelsen .sVn. Nya filändelser hos ett ransomware visar i regel på en ny virusversion. I det här fallet ser man det också på ransom-meddelandet och den bild som ersätter skrivbordsbilden, vilka har fått nya namn. Dessa filer heter nu !!!!README_FOR_SAVE FILES.txt och !!!SAVE YOUR FILES.bmp. Dessvärre kan inte heller denna Jaff-version dekrypteras, men du kan alltid testa med nedanstående återställningsmetoder.

Uppdatering, 15 juni 2017: dekrypterare för Jaff ransomware finns ute

Detta ökända Jaff ransomware som först verkade omöjligt att knäcka har nu visat sig inte vara så avancerat som först antogs. Självklart tog det lång tid och möda för Kaspersky-experterna att analysera viruset och steg för steg utveckla en allt-i-ett-dekrypterare för denna ransomware-familj.

Det nya verktyget lanserades den 14:e juni 2017 och har förmågan att återställa .wlu-, .jaff- och .sVn-filer till sitt ursprungliga skick. Kom ihåg att innan du använder detta program, måste du få bort viruset och alla dess komponenter. Använd ett starkt antisabotageprogram för denna uppgift. 

Ta bort Jaff ransomware helt och hållet innan du använder dekrypteringsverktyget 

Den enda säkra metoder för att ta bort Jaff från enheten är att göra en fullständig systemskanning med hjälp av ett ansett antisabotageprogram. Försök inte att göra en manuell borttagning, då viruset kan ha fört in legitima systemprocesser och modifierat Windows-registret. På så sätt kan du enkelt orsaka ännu större skada genom att oavsiktligt stoppa viktiga processer eller radera centrala komponenter. Gör istället en automatisk bortttagning med Reimage, Malwarebytes Malwarebytes eller annat antisabotageprogram. 

Om du har problem med att installera ett antisabotageprogram, starta om din dator i ”Felsäkert läge med nätverk” enligt instruktionerna nedan. Sedan ska du kunna installera säkerhetsprogrammet och ta bort Jaff-viruset. När datorn väl är fri från virus, kan du återställa dina filer från säkerhetskopior eller testa någon av de alternativa metoderna. 

Vi kan vara anslutna med produkterna vi rekommenderar på sidan. All information finns i vårt Användaravtal Genom att ladda ner någon av Anti-spionprogrammen för att ta bort Jaff ransomware, så accepterar du våran integritetspolicy och våra användarvillkor.
gör det nu!
Ladda ner
Reimage (borttagare) Nöjdhets-
Garanti
Ladda ner
Reimage (borttagare) Nöjdhets-
Garanti
Kompatibel med Microsoft Windows Kompatibel med OS X
Vad ska man göra om det misslyckas?
Om du misslyckades med att ta bort infektionen med Reimage, skicka en fråga, till vår support och beskriv problemet så detaljerat som möjligt.
Reimage rekommenderas för att avinstallera Jaff ransomware. Gratisskannern möjliggör för dig att kolla huruvida din PC är infekterad eller inte. Om du behöver ta bort skadeprogram måste du köpa den licensierade versionen av skadeprogramsborttagaren Reimage.
Mer information om detta program kan hittas i recensionen av Reimage.
Omnämningar i pressen om Reimage
Alternativ Mjukvara
Malwarebytes
Alternativ Mjukvara
Malwarebytes

Manuell Jaff Borttagningsguide för virus:

Ta bort Jaff med Safe Mode with Networking

Jaff ransomware kan komma att förhindra installation av säkerhetsprogram och därmed systemskanning. Därför kan du komma att först behöva starta om din dator i ”Felsäkert läge med nätverk”.

  • Steg 1: Starta om din dator i Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicka på Start Shutdown Restart OK.
    2. När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
    3. Välj Safe Mode with Networking från listan Välj 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
    2. Välj nu Troubleshoot Advanced options Startup Settings och tryck avslutningsvis på Restart.
    3. När din dator blir aktiv så väljer du Enable Safe Mode with Networking i fönstret Startup Settings. Välj 'Enable Safe Mode with Networking'
  • Steg 2: Ta bort Jaff

    Logga in på ditt infekterade konto och starta webbläsaren. Ladda ner Reimage eller ett annat legitimt antispionprogram. Uppdatera det innan du kör en full systemskanning och tar bort skadliga filer som tillhör ditt gisslanprogram och slutför borttagningen av Jaff

Om ditt gisslanprogram blockerar Safe Mode with Networking så kan du prova en annan metod.

Ta bort Jaff med System Restore

Om Jaff Decryption System hindrar dig från att starta säkerhetsprogrammet, följ stegen nedan och försök att starta programmet igen.

  • Steg 1: Starta om din dator i Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicka på Start Shutdown Restart OK.
    2. När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
    3. Välj Command Prompt från listan Välj 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
    2. Välj nu Troubleshoot Advanced options Startup Settings och tryck avslutningsvis på Restart.
    3. När din dator blir aktiv så väljer du Enable Safe Mode with Command Prompt i fönstret Startup Settings. Välj 'Enable Safe Mode with Command Prompt'
  • Steg 2: Återställ dina systemfiler och inställningar
    1. När fönstret Command Prompt dyker upp så skriver du in cd restore och klickar Enter. Skriv in 'cd restore' utan citationstecken och tryck 'Enter'
    2. Skriv nu in rstrui.exe och tryck på Enter igen.. Skriv in 'rstrui.exe' utan citationstecken och tryck 'Enter'
    3. När ett nytt fönster dyker upp klickar du på Next och väljer en återställningspunkt från innan infiltrationen av Jaff. Efter att ha gjort det klickar du på Next. När fönstret 'System Restore' dyker upp så väljer du 'Next' Välj din återställningspunkt och klicka 'Next'
    4. Klicka nu på Yes för att starta systemåterställningen. Klicka på 'Yes' och starta systemåterställningen
    Så fort du har återställt ditt system till ett tidigare stadium, ladda ner och skanna din dator med Reimage och se till att borttagningen av Jaff lyckas.

Bonus: Återställ din data

Guiden ovan ska hjälpa dig att ta bort Jaff från din dator. För att återställa dina krypterade filer, rekommenderar vi dig att använda en detaljerad guide utfärdad av utanvirus.se-säkerhetsexperter

En av de säkraste och mest effektiva metoderna för att återställa dina filer är att använda säkerhetskopior. Men om du saknar sådana, vänligen testa våra föreslagna metoder nedan. Förhoppningsvis kan du återställa iallafall några filer. 

Du kan också återställa dina filer med hjälp av något av Kasperskys officiella dekrypterare.

Om dina filer är krypterade genom Jaff, finns flera sätt att återställa dem

Testa Data Recovery Pro för återställning av krypterade filer

Detta professionella program är utvecklat för att återställa korrupta, skadade, raderade och krypterade filer. Det har hittills hjälpt tusentals ransomware-offer, så testa det du med.

  • Ladda ner Data Recovery Pro (http://utanvirus.se/download/data-recovery-pro-setup.exe);
  • Följ anvisningarna i Installation av Data Recovery och installera programmet på din dator
  • Öppna det och skanna din dator efter filer som är krypterade genom Jaff-ransomware;
  • Återställ dem

Återställ filer krypterade av Jaff ransomware med hjälp av Windows-funktionen ”Återställ från tidigare versioner”

För att denna metod ska fungera, måste funktionen ”Systemåterställning” ha varit aktiverad före ransomware-attacken. Annars kommer det inte att gå. Windows-funktionen ”Återställ från tidigare versioner” gör det möjligt att resa tillbaka i tiden och kopiera tidigare sparade versioner av de krypterade filerna. 

  • Hitta den krypterade filen som du vill återställa och högerklicka på den;
  • Välj “Properties” och gå till fliken “Previous versions”;
  • Här ska du kontrollera varje tillgänglig kopia av filen i “Folder versions”. Välj den version som du vill återställa och klicka på “Restore”.

Använd Jaff-dekrypteraren

Kaspersky Labs har uppdaterat sin RakhniDecryptor, ett verktyg som kan dekryptera olika typer av ransomware. Ladda ner RakhniDecryptor och se till att du har 1.21.2.1.-versionen (eller senare).

  • Klicka på Starta skanning och välj en viss mapp för att hitta filer som har krypterats av viruset.
  • Dekrypteraren kommer att be dig att välja ett ransom-meddelande. När du har valt ett, tryck på knappen Öppna och vänta sedan tills dekryperaren har dekrypterat filerna. Ha tålamod, för detta kan ta ett tag. .
  • Upprepa samma procedur med samtliga mappar som innehåller krypterade filer.

Om utvecklaren

Alice Woods
Alice Woods

Om denna gratis borttagningsguide hjälpte dig och du är nöjd med vår tjänst, vänligen överväg att göra en donation för att hålla denna tjänst vid liv. Även små summor kommer uppskattas.

Kontakta Alice Woods
Om företaget Esolutions

Källa: https://www.2-spyware.com/remove-jaff-ransomware-virus.html

Borttagning guider på andra språk