Se multiplican los casos de ransomware de un tiempo a esta parte. Además del ya célebre WannaCry que ha sido noticia en las pasadas semanas, cada vez son más los casos sonados de este tipo de amenazas de seguridad. Uno de los mayores proveedores de seguridad está advirtiendo ahora sobre JAFF, que se envía a través de la botnet Necurs, y pide un rescate de más de 5.000€ por PC infectado.
Check Point Software Technologies está alertando sobre el descubrimiento de un nuevo ransomware llamado JAFF. Este se distribuye a través de la botnet Necurs, a la que catalogan como uno de los distribuidores de malware más efectivos de la red. Esta red ya fue la responsable en el pasado del ransomware Locky o del troyano bancario Dridex, que infectaron a millones de ordenadores. Solo en los primeros días se han detectado 10.000 emails corruptos enviados cada hora.
JAFF, el malware que pide 5000 euros de rescate
Desde la firma de seguridad nos explican la “forma de actuar” de JAFF, aunque nos podemos hacer una idea al haber sido catalogado como ransomware. Esta variante dentro del malware suele apostar por cifrar archivos y después pedir un rescate económico, normalmente en bitcoin y a través de la red Tor.
Concretamente, JAFF utiliza los equipos infectados de la red Necurs para enviar correos SPAM con un archivo PDF adjunto. Cuando el usuario abre el archivo infectado adjunto, encuentro un documento de texto con macros incrustado que pide permiso para ejecutarse. Si aceptamos, el ordenador descarga automáticamente e instala JAFF sin que el usuario sea consciente.
El ransomware JAFF empieza entonces a actuar. Primero cifra los archivos que considera y después muestra el mensaje que vemos en la imagen anterior. La URL que muestra pertenece a la Deep Web y nos pide la instalación de Tor Browser. Después, podemos ver como exige el pago de 2.047 Bitcoin (más de 5.000 euros) a cambio de descifrar los ficheros del equipo.
Tanto Check Point, como un servidor, recomendamos no pagar por el rescate. Existen demasiados antecedentes en los que no se han liberado los archivos. Esto es debido a que no existen garantías y todo se realiza en el máximo anonimato en la red Tor. Lo que haremos será esperar a la aparición de una herramienta para descifrar los archivos, algo que podemos conocer en esta web.