移除 Jaff 病毒 (移除说明) - 2017 年 5月 更新
Jaff病毒移除指南
什么是Jaff 勒索病毒?
Jaff 勒索软件通过 Necurs 传播,加密文件后要求 2 比特币才提供解密软件
Jaff 勒索软件是一个加密恶意软件,它通过 Necurs 僵尸网络 分布。模糊不清的恶意有效载荷以含有 PDF 附件的电邮形式抵达计算机。一旦用户打开这个文件,它就会加载 MS Word 文档,这文档会要求用户启用宏指令以查看内容。如果用户遵循指示,恶意软件就会被置放在系统上并且被激活。然后,在受感染的设备上,Jaff 开始进行加密过程,并把目标锁定在 424 种不同类型的文件。它使用了 RSA 和 AES 组合的加密计算法,然后在每个目标文件添加 .jaff 扩展名字。在加密数据后,它会留下三个新的文件:ReadMe.bmp、ReadMe.txt 和 ReadMe.html,该图像会被设置为受感染计算机的壁纸,通知有关 Jaff Decryptor System 的攻击;另两个文件含有要求赎金的讯息,受害者被要求汇出 2 比特币以复原数据。然而,向网络犯罪份子购买解密软件可能也会导致金钱的损失。在勒索软件攻击后,你应该专注于病毒的移除。如果恶意软件存留在你的系统上,你的计算机和你的隐私将会面对风险。因此,请借助信誉良好的恶意软件移除程序,比如 FortectIntego 来移除 Jaff 勒索软件,然后才查找数据复原解决方案。
Jaff 勒索软件类似于 Locky 和 Dridex 病毒,因为它使用了同样的 Necurs 恶意滥发电邮活动 作为主要的分布策略。然而,这个恶意软件与这些网络感染无关,网络犯罪份子只是采用了成功勒索软件项目的几个功能 。正如我已经提到的,受感染的电邮含有一份会打开一个 DOCM 的 PDF 附件。一旦受害者点击“启用内容”按钮,他们就激活了恶意程序。然后,恶意软件就会开始收集有关受害者的信息,并下载需要用来执行及运行 Jaff 恶意软件的各种文件。当文件加密病毒被执行后,它会连接到其“指令与控制” (Command & Control ) 伺服器,并告知有关刚刚被攻击的设备。该 C2 伺服器以“已创建”字词回应,然后恶意软件就会开始其加密过程。它使用了 AES 和 RSA 密码来损坏储存在计算机上的大多数文件类型,但是会远离系统文件及其他需要用来运行计算机的重要文件。Jaff 也被设计来删除目标文件的卷影副本,它执行了 vssadmin.exe delete shadows /all /Quiet 指令,让数据复原在没有特定解密密钥的情况下变得不可能。恶意软件在每个含有受感染文件的文件夹里置放了勒索字条,网络犯罪份子在该字条里说明了如取得解密密钥。
要求赎金的讯息也含有一个独特的受害者 ID,并提供了连接到付款网站的链接,这个网站只能通过匿名 (TOR) 浏览器进入。这个付款网站看起来与 Locky 的相似,内含如何购买比特币及如何将款项汇到所提供的地址以取得解密密钥的信息。一旦 Jaff 勒索软件被发现,它会要求 1.82 比特币,但最新的版本要求了 2 BTC 。不幸的是,没有任何保证网络犯罪份子会让你取得 Jaff Decryptor,他们只对你的金钱有兴趣而已。因此,你不应该冒这个会损失 $3000 的风险,并且不应该与可疑的人物有生意上的来往。然而,如果你存有备份,你应该会觉得自己很幸运,因为这是目前唯一能还原你文件的方法。否则,你取回文件的机率是很低的,但是这种情况也不应该激发你支付赎金。与其冒着损失数千元的风险,你应该专注于 Jaff 的移除。当你的计算机不含任何病毒时,你可以试试看替代的复原方法,至少还原一些文件,或等待至官方的加密软件发布。
勒索软件分布的分析
Jaff 病毒使用了 Necurs 僵尸网络来传播附加受感染 PDF 文档的垃圾电邮。正如我们已经提到的,这个技巧已经被用在 Locky 的分布。这个钓鱼电邮的主题行含有其中这些字词:File(文件)、Document(文档)、Copy(复制)、Scan(扫描)或 PDF,紧接在后门面的则是随机的号码。举个例子,恶意电邮可能含有这样的主题行:“File_123456”。该信件含有名字为 “nm.pdf” 的 PDF 附件,并可能举出了用户应该打开它的各种原因。举个例子,某个电邮垃圾活动可能只要求打印文件的两个副本 。如果用户被诱骗打开了文件,该 PDF 文件就会打开一个要求启用宏指令的 Word 文档。根据安装在受侵入设备上的 PDF 阅读器版本,该文件可能会自动打开一个 DOCM 文件,或可能要求用户打开它。一旦文件被打开后,它会提供一条讯息,告知用户这份文件已受到保护,用户需要点击“启用内容”按钮。该按钮内隐藏了恶意的宏指令,被设计来连接“指令和控制”伺服器,然后下载勒索软件相关的文件以执行Jaff Decryption System。因此,如果你没有预料会收到任何文档或文件,你不应该打开任何可疑的电邮附件。在打开这些附加的文件之前,你需要确保你知道谁是发件人,而且是你可以信任的人 ,否则请马上删除这些电邮。
Jaff 勒索软件可能也会通过设计网络和文件共享网站分布。因此,你可能受到来自朋友(或不是熟人)的某个链接,建议你观看视频或图片。在点击这些链接之前,你应该随时确保它是可以安全打开的。举个例子,你可以询问你的朋友,查看电邮是否是他/她所发送。此外,恶意软件可能在各种点对点的网络里把恶意软件推广为有用的程序。如果你需要安装一个特定的程序,你应该避开这些不明的下载网站。请只选用开发者或发布人的官方网站,以避免安装恶意程序。
彻底从设备移除 Jaff 勒索病毒
唯一能从设备安全地移除 Jaff 的方法就是使用信誉良好的恶意软件移除程序来运行一次完整的系统扫描。我们想阻止你尝试手动删除勒索软件,因为它有可能已经注入合法的系统进程并修改了视窗的注册表。因此,如果你不小心停止一些重要的进程或删除了关键的条目,你可能轻易造成更多的破坏。不要犹豫了,请安装 FortectIntego、SpyHunter 5Combo Cleaner 或其他恶意软件移除程序。如果你无法这么做,请把你的计算机重新开启到“带有网络的安全模式,如以下指示,然后你就可以安装安全程序,执行 Jaff 的自动移除了。当计算机没有病毒时,你可以从备份或尝试替代的复原方法来还原你的文件。
手动Jaff病毒移除指南
使用 Safe Mode with Networking 来移除 Jaff
Jaff 勒索软件可能会防止安全程序的安装和系统扫描的运行,因此你可能需要先把设备重新开启至“带有网络的安全模式”。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Networking
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
-
步骤2: 移除 Jaff
请使用你那个已受感染的账户登录并打开网页浏览器。下载 FortectIntego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Jaff 的移除过程。
如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。
使用 System Restore 来移除 Jaff
如果 Jaff Decryption System 防止你运行自动的移除,请按照以下的步骤并再次尝试运行安全工具。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Command Prompt
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
-
步骤2: 将你的系统文件和设置还原
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
-
现在输入 rstrui.exe 然后再点击 Enter 一次。.
-
当显示新的窗口时,点击 Next 然后选择在 Jaff 渗入之前的还原点,完成后点击 Next。
-
现在请点击 Yes 以启动系统还原。
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
额外指示:恢复你的数据
以上的指南将帮你从你的计算机移除 Jaff。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。目前,唯一能安全及有效复原你所有文件的方法就是使用数据备份。然而,如果你没有备份,请试试看我们以下建议的方法,希望你能至少还原一些文件。
如果你的文件已被 Jaff 加密,你可以使用几个方法来将它们还原:
Data Recovery Pro 可能有助于还原被加密的文件
这个专业的软件是被创建来还原损坏的、遭受破坏的、被删除的及一些被加密的文件。Data Recovery 已经帮助了数以千计勒索软件的受害者,因此它可能可以帮助你。
- 下载 Data Recovery Pro;
- 按照安装 Data Recovery 的步骤并在你的计算机上安装这个程序;
- 将它启动并扫描计算机以找出被 Jaff 勒索软件加密的文件;
- 还原它们
Windows Previous Versions 功能可能有助于还原被 Jaff 勒索软件加密的文件
欲使用复原方法,“系统还原”功能必须在勒索软件攻击之前启用,否则这个方法无效。Windows Previous Versions 功能允许计算机的时间倒流,并复制被加密文件之前保存的版本。
- 找出你想要还原的加密文件然后右键点击它;
- 选择 “Properties” 然后移到 “Previous versions” 标签页;
- 在这里,检查 “Folder versions” 里每个文件的可用副本,你应该选择你想要还原的版本然后点击 “Restore”。
Jaff Decryptor
官方的解密软件尚未可用。
最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Jaff 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 FortectIntego、SpyHunter 5Combo Cleaner 或 Malwarebytes
向你推荐
不要让政府监视你
政府在跟踪用户数据和监视公民方面存在许多问题,因此你应该考虑到这一点,并了解有关可疑信息收集实践的更多信息。请在互联网上完全匿名以避免任何不必要的政府跟踪或监视。
你可以选择不同的位置,上网并访问所需的任何资料,而不受到特殊内容的限制。通过使用 Private Internet Access VPN.,你可以轻松享受互联网连接,并且不会遭到黑客入侵。
控制政府或任何其他不需要方可以访问的信息,并且可以在不被监视的情况下在线浏览。即使你并没有参与非法活动,或者你信任你所选择的服务和平台,你也要对自己的安全性保持怀疑,并通过使用 VPN 服务采取预防措施。
备份文件以便在被恶意软件攻击后可以使用
由于网络感染或自己的错误行为,计算机用户可能会遭受各种各样的损失。恶意软件造成的软件问题,或加密导致的直接数据丢失,都可能会导致设备出现问题或永久损坏。如果你拥有适当的最新备份,那你可以在发生此类事件后轻松还原数据,继续工作。
在设备上进行任何更改后,创建新的备份更新非常重要,这样你就可以回到恶意软件更改任何内容或设备问题导致数据或性能损坏时的工作点。请持续这种行为,让文件备份成为你每天或每周的习惯。
当你拥有每个重要文档或项目的先前版本时,你就不会感到沮丧和崩溃,因为当恶意软件突然出现时,它就能派上用场。请使用 Data Recovery Pro 进行系统还原。
如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。