Aktuell tauchen vermehrt wieder Emails mit einem manipulierten PDF-Dokument als Anhang auf. Öffnet ein Benutzer diesen Anhang unter Windows, kann die Ransomware Jaff den PC infizieren, warnt das LKA Niedersachsen.
Die Schadsoftware verschlüsselt die Dateien auf infizierten PCs und verlangt für die Freigabe ein hohes Lösegeld von rund 2 Bitcoin (ca. 4200 Euro). Nach dem Befall haben die Dateien die Namenserweiterung .wlc und lassen sich auch nicht mehr öffnen: Aus einem Foto „Blume.jpg“ macht der Schädling zum Beispiel “Blume.jpg.wlc”.
Zurzeit gibt es nach Informationen von Sicherheitsforschern noch kein Entschlüsselungstool. Deshalb sollten Opfer von Jaff die Internetseite ID-Ransomware beobachten: Dort kann man von Zeit zu Zeit nachlesen, ob es ein kostenloses Entschlüsselungstool gibt. Die meisten Erpressungstrojaner brauchen eine Internetverbindung, um mit der Infizierung zu beginnen, aber Jaff soll Rechner auch offline übernehmen können.
Wer auf die Mail reagiert und den PDF-Anhang öffnet, fängt sich Jaff zunächst noch nicht ein. Erst, wenn er in seinem PDF-Programm (z.B. Acrobat Reader) eine Sicherheitswarnung per Klick auf “OK” abhakt, wird ein Word-Dokument mit Makros aus dem PDF extrahiert und automatisch geöffnet. Dann muss das Opfer auch noch die Makros aktivieren – erst dann kommt es wirklich zur Infektion mit Jaff.