فايروس الفدية JAFF يعود من جديد بامتداد جديد WLU

تم اكتشاف امتداد جديد لفايروس الفدية JAFF بعد الحملة التي قام بها المخترق في تاريخ ٢٢/٥/٢٠١٧ وكشف الباحث الأمني براد دنكان ان المخترق قام بتغير امتداد تشفير ملفات الضحية مع رساله للفدية جديدة وكما قام المخترق بإرسال بريد الالكتروني ضار حول العالم الذي يحتوي ملف PDF مدمج به ملف مايكرو لتحميل وتثبيت فايروس الفدية على جهاز الضحية

اما بنسبة للامتداد الجديد WLU الخاص بفايروس الفدية JAFF فلقد تم تغير مذكرة الدفع وأصبحت اكثر تنظيم باستخدام تنسيقات HTML&CSS بعكس السابقة .

 والتطوير الحاصل في مذكرة الدفع او تغير والتحديث المستمر للامتداد دليل على نجاح الحملات السابقة من الاختراقات والتشفير.

كيف تتم الإصابة :

تتم الإصابة من خلال إرسال بريد الالكتروني يحتوي في العنوان على (نسخه من الفاتورة)  وتحتوي على بريد الالكتروني ضار ويقوم المخترق بتغير الرقم المرفق مع الرسالة بشكل عشوائي مثال Cope of invoices 99483713 وهنا تستطيع مشاهده نسخه من البريد الالكتروني الضار

عندما يقوم المستخدم بتحميل المرفق الضار وهو على شكل ملف PDF  يقوم بتحويلك وسؤالك عن السماح بفتح ملف word مرفق به ملف مايكرو خبيث


وعندما يقوم المستخدم بالسماح بفتح ملف Word يقوم بسؤال المستخدم بتفعيل المايكرو لتحميل وتثبيت فايروس الفدية

وعندما يقوم المستخدم بتفعيل المايكرو يقوم بتفيذ التعليمات البرمجية الخبيثة ونسخ وتنصيب الفايروس

وعندما يبدا فايروس الفدية بالعمل يقوم بتشفير الملفات لضحية اذا كانت من هذه الامتدادات :

وعند  البدء في عملية التشفير يقوم بتغير امتداد الملفات الى  .wlu

هل استطيع فك الفايروس واسترجاع ملفاتي ؟

حالياً للاسف لا تستيطع فك فايروس الفدية JAFF  بتحويل  .wlu وحينما يقوم احد المطورين بفكه سأقوم بذكره في نفس الوقت في حسابي على تويتر Malajab@

المذكرة الدفع :

<code>

/////////////////////////////////////////////////////////////////////////////////
Files are encrypted!
To decrypt flies you need to obtain the private
key.

The only copy of the private key, which will allow you to decrypt your
files, is located on a secret server
in the Internet.

1.
You must install Tor Browser:
https://www.torproject.org/download/download-easy.html.en

2.
After instalation, run the Tor Browser and enter address:
http://rktazuzi7hbln7sy.onion/

Follow the instruction on the website.

Your decrypt ID: 1111111111

//////////////////////////////////////////////////////////////////////////////

<code/>

ماهي آلية عمل فايروس الفدية JAFF :

 

هنا IOCs  الخاصة بفايروس الفدية JAFF:

هنا نرى طريقة تواصله مع التحكم والسيطرة C&C

بعد الاصابة بالفايروس يقوم بتثبيت برامجه الخبيثة في ملفات ويندوز المؤقته على هذا المسار AppData\Local\Temp  وهذا اسم احد الملفات قبل فك التشفير lodockap8. وبعد عمليه الفك levinsky8.exe  تتم عملية الفك في نفس المجلد واسم الملف متغير بشكل تلقائي .

بعد عملية تفعيل فايروس الفدية يقوم بتشفير واغلاق الملفات وتغير خلفية سطح المكتب

وعندما يقوم بتشفير الملفات يبدا بمطالبتك بالمال

محتويات البريد الضار :

<code>

  • Subject: Invoice(00-5523)   —   Attachment name: 68-5182.pdf
  • Subject: Invoice(00-5832)   —   Attachment name: 72-6353.pdf
  • Subject: Invoice(08-4031)   —   Attachment name: 28-3137.pdf
  • Subject: Invoice(09-5337)   —   Attachment name: 98-9897.pdf
  • Subject: Invoice(19-9273)   —   Attachment name: 68-6414.pdf
  • Subject: Invoice(23-0458)   —   Attachment name: 53-3366.pdf
  • Subject: Invoice(27-7813)   —   Attachment name: 95-1750.pdf
  • Subject: Invoice(28-3137)   —   Attachment name: 68-4200.pdf
  • Subject: Invoice(53-3366)   —   Attachment name: 61-7808.pdf
  • Subject: Invoice(54-9434)   —   Attachment name: 78-8672.pdf
  • Subject: Invoice(61-7808)   —   Attachment name: 00-5832.pdf
  • Subject: Invoice(68-4200)   —   Attachment name: 98-3753.pdf
  • Subject: Invoice(68-5182)   —   Attachment name: 54-9434.pdf
  • Subject: Invoice(68-6414)   —   Attachment name: 27-7813.pdf
  • Subject: Invoice(72-6353)   —   Attachment name: 08-4031.pdf
  • Subject: Invoice(78-8672)   —   Attachment name: 23-0458.pdf
  • Subject: Invoice(88-6908)   —   Attachment name: 19-9273.pdf
  • Subject: Invoice(95-1750)   —   Attachment name: 00-5523.pdf
  • Subject: Invoice(98-3753)   —   Attachment name: 88-6908.pdf
  • Subject: Invoice(98-9897)   —   Attachment name: 09-5337.pdf

<code/>

عينات من البريد الالكتروني الضار:

  • ALISA PICKARD <ALISA.PICKARD@ADAMSINSTALLATIONS.CO.UK>
  • ALYSSA BUTLING <ALYSSA.BUTLING@MATTRICHLING.COM>
  • CAROLYN BOSTON <CAROLYN.BOSTON@FLORIN.FR>
  • DENIS SENIOR <DENIS.SENIOR@INFOTEC.NO>
  • DUSTY HAMMOND <DUSTY.HAMMOND@EASTWELLIRONWORKS.CO.UK>
  • ELAINE BARKER <ELAINE.BARKER@SCHIONNINGDEVELOPMENT.DK>
  • FREDRIC RALLI <FREDRIC.RALLI@RVAGROCERYSHOPPER.COM>
  • GENA CLYDE <GENA.CLYDE@CORTE.CH>
  • HERMINIA UREN <HERMINIA.UREN@BIGBOYPUZZLES.COM>
  • JENNA LAMPET <JENNA.LAMPET@ALIF-INTERNATIONAL.COM>
  • LILLIE TRAVERS <LILLIE.TRAVERS@CHANGEAGENTS.BIZ>
  • LUPE FERN <LUPE.FERN@DWTAXPREP.COM>
  • MEAGAN FALKENBERG <MEAGAN.FALKENBERG@MIKEPRICE.INFO>
  • MICAH HOG <MICAH.HOG@SBINFRACON.COM>
  • MOLLIE BOSCAWEN <MOLLIE.BOSCAWEN@STRAYFAMILY.COM>
  • ROBIN PETER <ROBIN.PETER@JUSTPLUMBIT.CO.UK>
  • SILVIA GASKIN <SILVIA.GASKIN@RSDRUKKERIJ.NL>
  • TONY SCOWBY <TONY.SCOWBY@RELATIVITYCOMPUTING.COM>
  • VICKY GILLESPIE <VICKY.GILLESPIE@CASAXALTEVA.ORG>
  • VIOLET BAGBY <VIOLET.BAGBY@JAMES-FOLEY.CO.UK>

عينات من SHA256 لملفات PDF الخبيثة :

  • 0218178eec35acad7909a413d94d84ae3d465a6ea37e932093ec4c7a9b6a7394
  • 0a326eb9a416f039be104bb5f199b7f3442515f88bd5c7ad1492b1721c174b8e
  • 21da9eeded9581f6f032dea0f21b45aa096b0330ddacbb8a7a3942a2026cc8ca
  • 4458f43127bb514b19c45e086d48aba34bf31baf1793e3d0611897c2ff591843
  • 66320f4e85e3d6bd46cf00da43ca421e4d50c2218cb57238abb2fb93bef37311
  • 7dd248652f2b42f3e1ad828e686c8ba458b6bb5b06cea46606ceccdd6b6e823c
  • 8a474cdd4c03dd4a6ba6ad8945bf22f74f2f41830203f846d5437f02292bb037
  • 956e43ece563fd46e6995fae75a0015559f0a63af5059290a40c64b906be5b9b
  • 9beb67a68396375f14099055b712e22673c9a1d307a76125186127e289ab41a2
  • b2b9c02080ae6fbe1845c779e31b5f6014ec20db74d21bd9dd02c444a0d0dd9b
  • c126e731c1c43d52b52a44567de45796147aca1b331567ed706bf21b6be936b4
  • cde2ff070e86bc1d72642cb3a48299080395f1df554e948fd6e8522579dfe861
  • daf01a1f7e34e0d47ecdfcef5d27b2f7a8b096b4e6bc67fb805d4da59b932411
  • e477300e8f8954ee95451425035c7994b984d8bc1f77b4ccf2a982bb980806fe

عينات من SHA256  لملفات Word  الخبيثه :

  • 084ee31e69053e66fafe6e1c2a69ffec015f95801ce6020f7765c56d6f3c23ff – PQQIDNQM.docm
  • 0855061389b62ec6a9b95552357ff7571ae5c034b304978a533c6cba06c3f9e8 – GYTKPVM.docm
  • 1f2598dc7a7b8f84307d8c2fa41f5550c320f8192cd41e50b47570d3836e6fcc – RNJSMOVS.docm
  • 2dbf9e1c412aa1ffd32a91043642eb9cc80772c87dbbce3dd098c57d917277fb – DLDD7LH.docm
  • 3f95a7eeb1965193a4e92862c10897e04708b37b793b8e45f890d019358214c0 – DC2ZPQ.docm
  • 56cd249ff82e9bb96a73262090bc6a299ead64d6c75161520e745c2066f22430 – KAR6WLU.docm
  • 795d8312749c122fa10a93c9f3aa1c0f4ffc081714c0ddb66c141334f8ef0633 – M4SQLA2.docm
  • 8906d10a48487d8240bddd0c0cb5c076e88104c86bdf871b0143d74b6df3cc98 – NQBCXP4.docm
  • 91aa966e837c4144a1294aa912a2162397f3a6df98cf336891d234e267cd919f – RNOHLIAFU.docm
  • 933fcc1bf90716abf7c4eaf29b520d2276df895fb4dd5a76be2a55028a4da94e – PCHLUPL.docm
  • a98782bd10004bef221e58abcecc0de81747e97910b8bbaabfa0b6b30a93b66b – Q1DOEY13.docm
  • ae244ca170b6ddc285da0598d9e108713b738034119bae09eaa69b0c5d7635f8 – TH1DZZPT.docm
  • bc0b2fbe4225e544c6c9935171a7d6162bc611a82d0c6a5f3d62a3f5df71cf8c – OLZNKWSOW.docm
  • c702deaa2fe03f188a670d46401e7db71628e74b0e5e2718a19e2944282e05cd – VUG3FBFO.docm

عينات من النطاقات الخبيثة:

  • billiginurlaub.^com – GET /fgJds2U
  • david-faber^.de – GET /fgJds2U
  • elateplaza.^com – GET /fgJds2U
  • electron-trade^.ru – GET /fgJds2U
  • fjjslyw.^com – GET /fgJds2U
  • hr991.^com – GET /fgJds2U
  • jinyuxuan.^de – GET /fgJds2U
  • khaosoklake.^com – GET /fgJds2U
  • minnessotaswordfishh^com – GET /af/fgJds2U
  • oliverkuo.com^.au – GET /fgJds2U
  • pcflame.com^.au – GET /fgJds2U
  • tdtuusula.^com – GET /fgJds2U
  • williams-fitness.^com – GET /fgJds2U

 

سأقوم بتحديث الموضوع بشكل مستمر باذن الله ..

اترك رد