Хотя в данный момент взор общественности обращён на приложение-вымогатель под названием Wannacry, другие программы также не теряют времени даром. Создатели распространённых вымогателей Locky и Bart выпустили новое приложение для шифрования файлов под названием Jaff. За возвращение доступа к файлам они просят значительную сумму в 2 биткоина ($3700 или 190-200 тысяч руб.).
Распространяется новый вымогатель через спам по электронной почте, которую рассылает ботнет Necurs, сообщает компания Malwarebytes. Впервые этот ботнет появился в 2012 году и является сейчас одним из крупнейших и долгоживущих. Согласно апрельскому докладу IBM Security, в состав Necurs входят 6 млн. компьютеров. На долю этого ботнета приходится немало преступлений, поскольку он является одним из главных каналов распространения наиболее опасных банковских троянов и приложений-вымогателей. Можно не сомневаться, что благодаря ему вымогатель Jaff попадёт во множество почтовых ящиков.
Обнаруженные к настоящему времени письма выдают себя за автоматические сообщения от принтеров. В заголовке находятся слова Copy, Document, Scan, File или PDF и случайный набор чисел.
В письмо вложен файл nm.pdf, в который встроен документ Word. Здесь находится вредоносный макрос, который содержит инструкции для запуска кода. Если макрос запустить, происходит скачивание и установка вымогателя, который сразу начинает зашифровать файлы с разными расширениями. После этого к их имени добавляется расширение .jaff.
Затем вымогатель создаёт два файла с инструкциями, где описывается, как заплатить в биткоинах для возврата файлов. Платёжный портал располагается в сети Тор и мало отличается от портала, используемого в вымогателе Bart.