Ботнет Necurs распространяет Jaff со скоростью 5 млн писем в час

Один из крупнейших ботнетов в мире, Necurs, который способен в одиночку значительно влиять на уровень спама в мировом трафике, взялся за распространение нового вымогателя Jaff. Напомню, что раньше операторы ботнета занимались распространением шифровальщика Locky и банкера Dridex, а также пытались манипулировать рынком ценных бумаг.

Согласно данным исследователей Malwarebytes, Jaff написан на языке C и во многом похож на Locky. Угроза так же использует PDF-файлы, которые запускают Word с вредоносными макросами и даже страница платежей выглядит похожим образом. Впрочем, на этом сходства заканчиваются, так как код Jaff все же отличается от Locky, и шифровальщик требует немалую сумму – размер выкупа составляет почти 2 биткоина (более 3000 долларов США). Тем не менее, специалисты компании Proofpoint убеждены, что Jaff создан теми же авторами, которые стоят за вредоносами Locky, Dridex и Bart.

Аналитики компании Forcepoint Security Lab, в свою очередь, сообщают, что вредоносная кампания по распространению вымогателя стартовала в минувший четверг, 11 мая 2017 года, и Necurs сразу взялся за дело серьезно: ботнет рассылает порядка 5 000 000 вредоносных писем в час.

Исследователи пишут, что Jaff атакует файлы 423 различных расширений, умеет осуществлять шифрование в оффлайне, без подключения к C&C-серверу, и заменяет расширения файлов на .jaff. Вымогатель атакует компании и пользователей в разных странах, но больше всего пострадавших насчитывается в Великобритании, США, Ирландии, Бельгии, Италии, Германии, Голландии, Франции, Мексике и Австралии.