هرچند که WannaCry در صدر اخبار چند هفتهی گذشته قرار داشته است اما نباید آن را تنها باجافزار (Ransomware) فراگیر دانست. تهدید مشابه دیگری به نام Jaff وجود دارد که از دستهی باجافزارها بوده و تنها چند روز پیش از گسترش WannaCry پدیدار شده است.
انتشار Jaff به دلیل آنکه از باتنت Necurs استفاده می کند و از صفحهای مشابه با باجافزار Locky بهره میبرد، از همان ابتدا توجه بسیاری را به خود معطوف نموده و محققان امنیتی را معتقد ساخته است که این تهدید با عامل ایجادکنندهی باجافزارهای Locky، Dridex و همچنین Bart مرتبط میباشد.
باجافزار ذکرشده اقدام به افزودن پسوند .jaff به فایلهای رمزگذاریشده نموده و سپس مبلغ بالایی معادل با 5 هزار دلار مطالبه میکند. حامل آلودگی نیز فایلهای با پسوند PDF میباشند که در قالب پیوستهایی به صورت Spam ارسال میشوند.
Brad Duncan به عنوان یکی از تحلیلگران حوزهی شناسایی هوشمند تهدیدات در موسسهی Palo Alto Networks اظهار داشت: به تازگی نوع جدیدی از باجافزار Jaff شناسایی شده است که هرچند همانند باجافزار Jaff همچنان از Necrus و فایلهای PDF برای آلوده کردن استفاده مینماید اما استفاده از پسوند jaff. و پیام باجخواهی شبیه به Locky را کنار گذاشته است.
این باجافزار جدید پسوند wlu. را به فایلهای رمزگذاریشده اضافه نموده و پیام باجخواهی را با فونت سبز در زمینهای تاریک ارسال میکند. مبلغ درخواستی فعلی از سوی برنامهنویسان این باجافزار معادل با 900 دلار میباشد.
اخیرا نیز مشاهده شده است که ایمیلهای منتشرکنندهی این نوع جدید از Jaff اقدام به نمایش لیستی جعلی از محتوای ایمیلها میکنند. در این پیامها یک پیوست PDF به چشم میخورد که یک فایل Word دارای Macroهای مخرب را با هدف آلوده کردن سیستم در خود جای داده است.
به گفتهی Duncan، ماکروهای موجود در فایل Word به ایجاد یک URL اولیه میپردازند تا کدهای باینری Jaff را دانلود نمایند، در این مرحله URL دیگری نیز جهت برقراری ارتباط این باجافزار با Host آلوده ایجاد میشود. درخواست HTTP اولیه برای Jaff یک کد باینری XOR شده با رشتهی اَسکی 6cqcYo7wQ را بازمیگرداند.
نسخهی جدید Jaff نیز مانند نوع اولیهی آن، بیش از 400 نوع فایل را هدف قرار میدهد و پس از پایان روند رمزگذاری، یک متن باجخواهی جهت اطلاع قربانی از آلودگی ایجادشده و نحوهی پرداخت پول ارسال میشود.
به دلیل ارتباط Jaff با گروههای بسیار زیادی از مجرمان، احتمال انتشار سریع آن به عنوان یک تهدید قابل توجه وجود دارد. هرچند WannaCry در جایگاه خبری بالاتری قرار داشته است اما شیوع Jaff نیز به مرور در حال افزایش است.
