El pasado mes fue identificado un ransomware al que se bautizó como Jaff, cuya difusión está vinculada a una red de bots llamada Necurs (una red de bots, o botnet, es un conjunto de dispositivos conectados a internet, que pueden ser controlados por un dispositivo anfitrión para distribuir código malicioso). Afortunadamente, investigadores en seguridad informática hallaron un punto débil en Jaff, lo cual permite desencriptar los archivos secuestrados por este malware.
Esta debilidad ha sido explotada por expertos en Kaspersky Lab, y han desarrollado una herramienta gratuita, la cual permite la descodificación de los archivos importantes de la PC afectada, mediante la generación de claves de desencriptación que revierten el protocolo generado por Jaff.
Este ransomware encripta los archivos, dejándolos con la extensión .jaff, .wlu o .sVn. Los investigadores de Kaspersky afirman que gracias a la vulnerabilidad detectada, pudieron desarrollar una herramienta para desencriptar todos los archivos bloqueados por Jaff, en sus diferentes variantes conocidas a la fecha.
La botnet vinculada a Jaff también ha distribuido otros dos tipos de ransomware, llamados Locky y Dridex. Todos están vinculados a una campaña de distribución de spam vía correo electrónico. Esta campaña ha afectado principalmente a computadores localizados en China, Rusia, India, Egipto y Alemania. La campaña se basa en el envío de correos no solicitados, que llevan adjunto un archivo PDF, o un documento de Word.
Una vez abierto, se ejecuta un descargador que actúa tras bastidores, instalando el ransomware. Éste se encarga de bloquear los archivos del usuario, dejándolos inaccesibles, para luego proceder a exigir el pago de una cantidad que va de 1500 a 5000 dólares en bitcoins, a cambio de devolver el acceso de la víctima a sus archivos.