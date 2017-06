Jaff jest dystrybuowany przez cyberprzestępczy botnet Necurs — ten sam, który stał za kampaniami innych zagrożeń: Locky oraz Dridex. Ofiary Jaffa otrzymują spamowe wiadomości e-mail z zainfekowanymi plikami PDF. Po uruchomieniu załącznika szkodnik szyfruje dane użytkownika i dodaje do nich rozszerzenia .jaff, .wlu lub .sVn.

Ofiara otrzymuje informację, że do odzyskania danych konieczne jest zapłacenie okupu w wysokości od 0,5 do 2 bitcoinów (przy bieżącym kursie tej kryptowaluty jest to odpowiednik 1500 — 5000 dolarów). Najwięcej infekcji odnotowano w Chinach, Indiach, Rosji, Egipcie i Niemczech.

Analizując kod szkodnika Jaff, badacze z Kaspersky Lab wykryli błąd, który występuje we wszystkich znanych na chwilę obecną wersjach tego zagrożenia. Odkrycie to pozwoliło na uaktualnienie bezpłatnego narzędzia Kaspersky Lab — RakhniDecryptor — o procedury umożliwiające odszyfrowanie danych zablokowanych przez Jaffa.

Aby odszyfrować dane zablokowane przez szkodliwy program Jaff, należy: