Ein neuer Trojaner treibt sein Unwesen. Nach dem Virus WannaCry nistet sich nun die Ransomware Jaff auf zahlreichen Windows-Computern ein und verschlüsselt private Dateien. Jaff verbreitet sich über altbekannte Phishing-Methoden: Wirt des Trojaners ist diesmal eine PDF-Datei, die als Rechnung getarnt ist.

Die Vorgehensweise von Jaff

Die Vorgehensweise des Trojaners Jaff folgt grundsätzlich dem Schema seiner Vorgänger. Der Schädling wird per E-Mail an Rechner mit dem Windows-Betriebssystem versendet. Im Anhang befindet sich diesmal aber kein Word- oder Excel-Dokument, sondern ein PDF-File, das die Ransomware beinhaltet. Inhalt der E-Mail mit dem infizierten PDF-Dokument ist die Aufforderung zur Zahlung einer vermeintlichen Rechnung. Wird das PDF-Dokument geöffnet, so erscheint zunächst eine Sicherheitswarnung. Wird die Kenntnisnahme mit dem Klick auf den „Ok“-Button bestätigt, so wird ein Word-Dokument aus dem infizierten PDF-File extrahiert und geöffnet. Werden die Makros des Word-Dokuments aktiviert, so beginnt die Verschlüsselung der privaten Dateien auf dem Rechner – anders als seine Vorgänger-Trojaner benötigt Jaff keine bestehende Internetverbindung und chiffriert die privaten Dateien seiner Opfer damit auch offline.

Forderung nach Lösegeld

Sobald die Chiffrierung abgeschlossen ist, werden die Dateien des Users mit der Namenserweiterung .wlu versehen. Im Anschluss erscheint die Lösegeldforderung für die Geiseldateien. Diese beläuft sich beim Trojaner Jaff auf 2 Bitcoins und damit in etwa auf 4.200 Euro. Aktuell ist noch kein Entschlüsselungstool auf dem Markt. Von der Begleichung des Lösegelds wird dennoch abgeraten. Schließlich ist damit nicht garantiert, dass die privaten Dateien des Nutzers tatsächlich dechiffriert werden. Sobald ein Entschlüsselungstool verfügbar ist, kann dies unter id-ransomware.malwarehunterteam.com heruntergeladen werden. Opfer sollten deshalb diese Seite im Blick behalten.

Wie man sich vor Trojanern schützen kann

Durch die Beachtung einiger Basics können Sie sich weitgehend vor der Infektion mit einem Trojaner schützen:

• Öffnen Sie keine Anhänge unbekannter Absender und seien Sie auch bei Anhängen bekannter Absender stets wachsam.
• Achten Sie darauf, dass Microsoft Office keine Makros aktiviert. Zum Öffnen eines PDF-Files benutzen Sie am besten einen PDF-Reader, da dieser keine Skripte ausführt.
• Spielen Sie stets neue Updates ein. Häufig werden mit Updates bekannte Sicherheitslücken geschlossen, die von Trojanern wie Jaff benutzt werden.
• Sollten Sie die Installation eines Updates durchgeführt haben, so ist möglicherweise ein Neustart notwendig. Wird dies übersehen, so bleibt das Update der Software häufig unwirksam.
• Verwenden Sie unbedingt einen Virenschutz und halten Sie diesen auf dem neuesten Stand.
• Legen Sie regelmäßig Backups Ihres Rechners auf einem externen Speichermedium wie einem USB-Stick oder einer externen Festplatte an. Sollten Sie zum Opfer eines Erpressungstrojaners werden, so ist und bleibt ein Backup die beste Lösung: ein Backup macht Sie schließlich unabhängig von Entschlüsselungstools.