严重程度量表:  
  (99/100)

Jaff 勒索病毒. 如何移除? (卸载指南)

Alice Woods 评价 - - | 类型:勒索软件
12

Jaff 勒索软件通过 Necurs 传播,加密文件后要求 2 比特币才提供解密软件

Jaff 勒索软件是一个加密恶意软件,它通过 Necurs 僵尸网络 分布。模糊不清的恶意有效载荷以含有 PDF 附件的电邮形式抵达计算机。一旦用户打开这个文件,它就会加载 MS Word 文档,这文档会要求用户启用宏指令以查看内容。如果用户遵循指示,恶意软件就会被置放在系统上并且被激活。然后,在受感染的设备上,Jaff 开始进行加密过程,并把目标锁定在 424 种不同类型的文件。它使用了 RSA 和 AES 组合的加密计算法,然后在每个目标文件添加 .jaff 扩展名字。在加密数据后,它会留下三个新的文件:ReadMe.bmp、ReadMe.txt ReadMe.html,该图像会被设置为受感染计算机的壁纸,通知有关 Jaff Decryptor System 的攻击;另两个文件含有要求赎金的讯息,受害者被要求汇出 2 比特币以复原数据。然而,向网络犯罪份子购买解密软件可能也会导致金钱的损失。在勒索软件攻击后,你应该专注于病毒的移除。如果恶意软件存留在你的系统上,你的计算机和你的隐私将会面对风险。因此,请借助信誉良好的恶意软件移除程序,比如 Reimage 来移除 Jaff 勒索软件,然后才查找数据复原解决方案。

The image of Jaff ransomware

Jaff 勒索软件类似于 Locky 和 Dridex 病毒,因为它使用了同样的 Necurs 恶意滥发电邮活动 作为主要的分布策略。然而,这个恶意软件与这些网络感染无关,网络犯罪份子只是采用了成功勒索软件项目的几个功能 。正如我已经提到的,受感染的电邮含有一份会打开一个 DOCM 的 PDF 附件。一旦受害者点击“启用内容”按钮,他们就激活了恶意程序。然后,恶意软件就会开始收集有关受害者的信息,并下载需要用来执行及运行 Jaff 恶意软件的各种文件。当文件加密病毒被执行后,它会连接到其“指令与控制” (Command & Control ) 伺服器,并告知有关刚刚被攻击的设备。该 C2 伺服器以“已创建”字词回应,然后恶意软件就会开始其加密过程。它使用了 AES 和 RSA 密码来损坏储存在计算机上的大多数文件类型,但是会远离系统文件及其他需要用来运行计算机的重要文件。Jaff 也被设计来删除目标文件的卷影副本,它执行了 vssadmin.exe delete shadows /all /Quiet 指令,让数据复原在没有特定解密密钥的情况下变得不可能。恶意软件在每个含有受感染文件的文件夹里置放了勒索字条,网络犯罪份子在该字条里说明了如取得解密密钥。

要求赎金的讯息也含有一个独特的受害者 ID,并提供了连接到付款网站的链接,这个网站只能通过匿名 (TOR) 浏览器进入。这个付款网站看起来与 Locky 的相似,内含如何购买比特币及如何将款项汇到所提供的地址以取得解密密钥的信息。一旦 Jaff 勒索软件被发现,它会要求 1.82 比特币,但最新的版本要求了 2 BTC 。不幸的是,没有任何保证网络犯罪份子会让你取得 Jaff Decryptor,他们只对你的金钱有兴趣而已。因此,你不应该冒这个会损失 $3000 的风险,并且不应该与可疑的人物有生意上的来往。然而,如果你存有备份,你应该会觉得自己很幸运,因为这是目前唯一能还原你文件的方法。否则,你取回文件的机率是很低的,但是这种情况也不应该激发你支付赎金。与其冒着损失数千元的风险,你应该专注于 Jaff 的移除。当你的计算机不含任何病毒时,你可以试试看替代的复原方法,至少还原一些文件,或等待至官方的加密软件发布。

勒索软件分布的分析


Jaff 病毒使用了 Necurs 僵尸网络来传播附加受感染 PDF 文档的垃圾电邮。正如我们已经提到的,这个技巧已经被用在 Locky 的分布。这个钓鱼电邮的主题行含有其中这些字词:File(文件)、Document(文档)、Copy(复制)、Scan(扫描)或 PDF,紧接在后门面的则是随机的号码。举个例子,恶意电邮可能含有这样的主题行:“File_123456”。该信件含有名字为 “nm.pdf” 的 PDF 附件,并可能举出了用户应该打开它的各种原因。举个例子,某个电邮垃圾活动可能只要求打印文件的两个副本 。如果用户被诱骗打开了文件,该 PDF 文件就会打开一个要求启用宏指令的 Word 文档。根据安装在受侵入设备上的 PDF 阅读器版本,该文件可能会自动打开一个 DOCM 文件,或可能要求用户打开它。一旦文件被打开后,它会提供一条讯息,告知用户这份文件已受到保护,用户需要点击“启用内容”按钮。该按钮内隐藏了恶意的宏指令,被设计来连接“指令和控制”伺服器,然后下载勒索软件相关的文件以执行Jaff Decryption System。因此,如果你没有预料会收到任何文档或文件,你不应该打开任何可疑的电邮附件。在打开这些附加的文件之前,你需要确保你知道谁是发件人,而且是你可以信任的人 ,否则请马上删除这些电邮。

Jaff 勒索软件可能也会通过设计网络和文件共享网站分布。因此,你可能受到来自朋友(或不是熟人)的某个链接,建议你观看视频或图片。在点击这些链接之前,你应该随时确保它是可以安全打开的。举个例子,你可以询问你的朋友,查看电邮是否是他/她所发送。此外,恶意软件可能在各种点对点的网络里把恶意软件推广为有用的程序。如果你需要安装一个特定的程序,你应该避开这些不明的下载网站。请只选用开发者或发布人的官方网站,以避免安装恶意程序。

彻底从设备移除 Jaff 勒索病毒

唯一能从设备安全地移除 Jaff 的方法就是使用信誉良好的恶意软件移除程序来运行一次完整的系统扫描。我们想阻止你尝试手动删除勒索软件,因为它有可能已经注入合法的系统进程并修改了视窗的注册表。因此,如果你不小心停止一些重要的进程或删除了关键的条目,你可能轻易造成更多的破坏。不要犹豫了,请安装 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus 或其他恶意软件移除程序。如果你无法这么做,请把你的计算机重新开启到“带有网络的安全模式,如以下指示,然后你就可以安装安全程序,执行 Jaff 的自动移除了。当计算机没有病毒时,你可以从备份或尝试替代的复原方法来还原你的文件。

我们可能会与我们所建议在网站上的任何产品结合。我们的使用协议里含有充分的详情。 通过下载任何所提供的反间谍软件的软件以移除Jaff 勒索病毒,您同意遵守我们的隐私政策以及使用协议
现在就行动!
下载
Reimage (移除工具) 快乐
保证
下载
Reimage (移除工具) 快乐
保证
Microsoft Windows兼容 OS X兼容
如果失败了,该怎么办呢?
如果 Reimage 无法帮你移除感染,提交问题 我们的支援团队,并尽量提供详细信息。
建议使用 Reimage 来卸载 Jaff 勒索病毒。 免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件,你必须购买恶意软件移除工具 Reimage 的许可版。
欲获取更多有关这个程序的信息,请参考 Reimage 评价
提及 Reimage 的媒体

手动Jaff病毒移除指南:

使用 Safe Mode with Networking 来移除 Jaff

Jaff 勒索软件可能会防止安全程序的安装和系统扫描的运行,因此你可能需要先把设备重新开启至“带有网络的安全模式”。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Networking

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Safe Mode with Networking 选择 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking 选择 'Enable Safe Mode with Networking'
  • 步骤2: 移除 Jaff

    请使用你那个已受感染的账户登录并打开网页浏览器。下载 Reimage 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Jaff 的移除过程。

如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。

使用 System Restore 来移除 Jaff

如果 Jaff Decryption System 防止你运行自动的移除,请按照以下的步骤并再次尝试运行安全工具。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Command Prompt 选择 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt 选择 'Enable Safe Mode with Command Prompt'
  • 步骤2: 将你的系统文件和设置还原
    1. 一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter输入不带引号的 'cd restore' 然后点击 'Enter'
    2. 现在输入 rstrui.exe 然后再点击 Enter 一次。. 输入不带引号的 'rstrui.exe' 然后点击 'Enter'
    3. 当显示新的窗口时,点击 Next 然后选择在 Jaff 渗入之前的还原点,完成后点击 Next当 'System Restore' 窗口显示时,选择 'Next' 选择你的还原点然后点击 'Next'
    4. 现在请点击 Yes 以启动系统还原。 点击 'Yes' 并启动系统还原
    一旦你将系统还原到上一个日期,请下载 Reimage 然后使用它来扫描你的计算机,并确保 Jaff 成功完整移除。

额外指示:恢复你的数据

以上的指南将帮你从你的计算机移除 Jaff。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。

目前,唯一能安全及有效复原你所有文件的方法就是使用数据备份。然而,如果你没有备份,请试试看我们以下建议的方法,希望你能至少还原一些文件。

如果你的文件已被 Jaff 加密,你可以使用几个方法来将它们还原:

Data Recovery Pro 可能有助于还原被加密的文件

这个专业的软件是被创建来还原损坏的、遭受破坏的、被删除的及一些被加密的文件。Data Recovery 已经帮助了数以千计勒索软件的受害者,因此它可能可以帮助你。

Windows Previous Versions 功能可能有助于还原被 Jaff 勒索软件加密的文件

欲使用复原方法,“系统还原”功能必须在勒索软件攻击之前启用,否则这个方法无效。Windows Previous Versions 功能允许计算机的时间倒流,并复制被加密文件之前保存的版本。

  • 找出你想要还原的加密文件然后右键点击它;
  • 选择 “Properties” 然后移到 “Previous versions” 标签页;
  • 在这里,检查 “Folder versions” 里每个文件的可用副本,你应该选择你想要还原的版本然后点击 “Restore”。

Jaff Decryptor

官方的解密软件尚未可用。

最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Jaff 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirusMalwarebytes Anti Malware

关于作者

Alice Woods
Alice Woods

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

联系 Alice Woods
关于 Esolutions 公司

来源:https://www.2-spyware.com/remove-jaff-ransomware-virus.html

其他语言的移除指南