> > > > Ransomware Jigsaw löscht stündlich Dateien bis zur Zahlung

Ransomware Jigsaw löscht stündlich Dateien bis zur Zahlung

Veröffentlicht am: von

jigsaw ransomwareAktuell wütet auch auf deutschen PCs eine neue Ransomware namens Jigsaw. Benannt ist das Programm nach dem Killer aus den Horror-Filmen der Reihe „Saw“. Im Unterschied zu anderen Trojanern, die Daten auf infizierten Rechnern ebenfalls verschlüsseln, geht Jigsaw bis zur Zahlung eines Lösegeldes drastischer vor. So wartet die Ransomware nicht einfach untätig ab, sondern löscht stündlich neue Dateien, um eine Entscheidung zu erzwingen. Wer unter Jigsaw zu leiden hat, hat im Grunde aber noch „Glück im Unglück“. Denn im Gegensatz zu manch anderer Ransomware gibt es für Jigsaw ein kostenloses Entschlüsselungs-Tool. Wer dennoch ausharrt, erlebt, wie Jigsaw stündlich eine Datei vom Rechner schmeißt. Lässt man es auf einen Neustart ankommen, löscht Jigsaw sogar quasi zur Strafe direkt 1.000 einzelne Dateien. Maximal 72 Stunden soll Jigsaw laut Lösegeldforderung wüten, dann müssen bei Ausbleiben einer Zahlung alle Daten dran glauben.

jigsaw ransomware banner

Seltsam ist, dass die verlangte Summe variiert. Während einige Anwender in Bitcoins 150 Euro zahlen sollen, liegt die Summe bei anderen Leidtragenden bei eher moderaten 20 Euro. Warum die Summen so stark variieren, ist derzeit unbekannt. Dem Datentod von der Schippe springen, kann man allerdings dank dreier Sicherheitsforscher mit den Pseudonymen DemonSlay335, MalwareHunterTeam und myself. Sie haben den JigsawDecryptor veröffentlicht. Damit er funktioniert, müssen allerdings die betroffenen Prozesse gestoppt werden. Das sind konkret „drpbx.exe“ und „firefox.exe“, die durch ihre an Dropbox und Firefox erinnernden Namen darüber hinwegtäuschen sollen, dass sie zur Ransomware gehören. Auch der Start-Eintrag für firefox.exe sollte entfernt werden – das geschieht am leichtesten über Msconfig.exe. Weitere Dateien, die es zu löschen gilt, sind unter dem Ordner „%UserProfile%\AppData\Roaming\Frfx\firefox.exe“ zu finden und zu löschen. Wurden diese Schritte bewerkstelligt, kann der JigsawDecryptor die verschlüsselten Daten wieder entschlüsseln. Jigsaw bennent die verschlüsselten Dateien mit neuen Endungen wie .BTC, .FUN und .KKK um.

Jigsaw verbreitet sich offenbar vor allem als infizierter E-Mail-Anhang. Wie immer gilt es also, Vorsicht walten zu lassen beim Öffnen von Dateianhängen. Den JigsawDecryptor können Betroffene direkt hier herunterladen.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (25)

#16
Registriert seit: 19.03.2008

Hauptgefreiter
Beiträge: 222
Gab es das so massiv eigentlich auch schon vor der Bitcoin-"Ära"?
#17
Registriert seit: 26.04.2015

Oberbootsmann
Beiträge: 855
Zitat der_Schmutzige;24495132
Beweist mal wieder die Wichtigkeit häufiger Backups von OS und Daten.


Nur damit dir der Trojaner dann auch dein Backup verschlüsselt (davon gibt es auch welche). Da muss man dann die Backupplatte schon physisch vom PC abhängen und nur zum Backupen wieder anhängen (und in der Zeit besteht dann auch wieder ein Risiko).
#18
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
€Uropäische Union - Bairischer Sprachraum
Kapitän zur See
Beiträge: 3484
Backup vom System bzw BS macht man aber nur alle Heillige Zeiten mal, und nicht jede Woche.
Natürlich ist es wichtig die Backup-Platte nicht dauerhaft am PC angeschlossen zu haben, am besten nutzt man mindestens Zwei platten, eines für Regelmäßiges Backup und eines wo man längere Zeit dazwischen hat.
Solche Schadprogramme sind nicht Monatelang inaktiv, daher können sie bei einer vernünftigen Backup-Strategie nichts ausrichten - Bei privaten PC's wohlgemerkt, bei Firmen sieht das Teils natürlich anders aus.
#19
customavatars/avatar226085_1.gif
Registriert seit: 07.08.2015
Athen
Oberleutnant zur See
Beiträge: 1404
Zitat Betabrot;24495738
Nur damit dir der Trojaner dann auch dein Backup verschlüsselt (davon gibt es auch welche). Da muss man dann die Backupplatte schon physisch vom PC abhängen und nur zum Backupen wieder anhängen (und in der Zeit besteht dann auch wieder ein Risiko).


rofl....ein Backup ist erst ein Backup wenn das Medium getrennt wird. Bis dahin ists nur eine Kopie ohne Schutz.
#20
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3756
Jeps. Selbst hier wissen offenbar einige nicht was ein Backup ist... .
#21
Registriert seit: 05.01.2010

Kapitän zur See
Beiträge: 3520
Zitat der_Schmutzige;24495228
Öööyyy Vorsicht, kecker Jungling! :shot:
...
Kann Dich aber beruhigen: Das mit dem Verallgemeinern wird sich verlieren, wennste selber mal 50 bist. ;)


Wo ist der Daumenhoch-Button, wenn man ihn braucht! :d
#22
Registriert seit: 01.05.2007

Korvettenkapitän
Beiträge: 2514
Ein Backupmedium gehört nur für die Zeit des Backups mit dem PC verbunden.
Nicht nur wegen der Schädlingsgefahr, sondern auch wegen andere möglicher Scenarien wie Überspannung etc., die bei verbundenem Backupmedium dann auch das Backupmedium zerstören würde.

Und man sollte immer mehrere Backup-Generationen haben.
Ist eine Generation nicht mehr lesbar (z.B. wegen defektem Backupmedium) oder virenverseucht, so kann man dann noch eine Generation davor zurückgehen.
Für den Privatgebrauch reicht eine 3-Generationen-Sicherung, das sog. Großvater-Vater-Sohn-Prinzip.
Man nimmt dann immer das Medium mit der ältesten Sicherung und macht darauf das Backup.
So kann man im Notfall immer noch 2 Generationen zurück gehen.

Ein Betriebssystem würde ich gesondert von den Daten sichern.
Da reicht es aus, nur dann eine neue Sicherung zu machen, wenn sich gravierende Dinge am Betriebssystem ändern (z.B. neuer Treiber wegen geänderter Hardware).
#23
customavatars/avatar113331_1.gif
Registriert seit: 12.05.2009
de_dust2
Kapitänleutnant
Beiträge: 1600
Zitat timo82;24495409
Ich hab die dummen 50er gemeint.
Es gibt auch schlaue. Dich würde ich dazuzählen.


Warum? Weil er nem 22 jährigen nen Rechner zusammen schrauben kann und es ganz alleine schafft nen OS zu installieren? Nicht falsch verstehn, würd ihn jetzt auch nicht als dumm hinstellen. Zumal das überhaupt nix mit dem alter zu tun hat. Aber nur weil man nen Rechner zusammenschrauben kann, ist man noch lange nicht Skilled. Und befreit einen nicht vor der Gefahr, auf gut gemachte Pishing Seiten oder Viren reinzufallen. ;)
#24
customavatars/avatar93849_1.gif
Registriert seit: 26.06.2008
Bremen
Kapitänleutnant
Beiträge: 1902
hallo und auch schon wider entschlüsselt https://www.youtube.com/watch?v=ZspjLZagzPw
#25
customavatars/avatar275501_1.gif
Registriert seit: 06.10.2017

Matrose
Beiträge: 0
Die Chance zur Dekodierung ist immer da, zum Beispiel:
Die Krypto-Ransomware Brut, bekannt als Crysis oder Dharma, scheint sich für einen Wiederaufstieg aufzustellen. Es hat seit Anfang August 2017 fast wöchentlich bösartige Nachkommen hervorgebracht, nachdem es monatelang in einem untätigen Zustand verharrte. Der letzte Ableger hat das Dateierweiterungs-Token .arena in die digitale Erpressungsumgebung eingeführt. Nach dem Verschlüsseln der personenbezogenen Daten eines Opfers hängt diese Crysis-Modifizierung Varianten spezifische Zeichenfolge an Original-Dateinamen an, in folgendem Format: id-{Opfer-ID}. [[email protected]].arena. Der variable Teil ist eine eindeutige Kennung, die dem infizierten Benutzer zugeordnet ist. Sie besteht aus acht hexadezimalen Zeichen. Letztlich verwandelt die Ransomware eine Datei namens Sample.docx in etwas wie Sample.docx.id-CFABE140.[[email protected]].arena.
Die .arena Datei Variante der Crysis-Ransomware verbreitet sich am häufigsten über gehackte Remote-Desktop Dienste. Eine Menge Leute verwenden die Vorgabe oder lächerlich leicht zu erratende RDP Anmeldeinformationen und Online-Täter wissen das definitiv. Nachdem sie in einem System gelandet sind, versucht die Infektion, Schattenkopien der Dateien des Opfers zu löschen, um diesen Träger der Wiederherstellung zu verhindern. Um es zu beenden, nutzt der Schädling bewährte Praktiken der Datenverschlüsselung, so dass es keine Möglichkeit gibt, die Dateien an diesem Punkt kostenlos zu entschlüsseln. Allerdings, falls das Arena-Virus VSS nicht deaktivieren konnte, stehen die Chancen gut, dass einige Dateien in ihren normalen Zustand wiederhergestellt werden können.
Arena-Virus: Wie man Dateien mit der .arena Erweiterung entschlüsseln « Linkmailer
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Logo von IMAGES/STORIES/2017/DNS-1111

Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

Schweizer ISP bietet 10 GBit/s für 34 Euro

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

Landesmedienanstalt NRW fordert weitere Streamer auf Rundfunklizenzen zu...

Logo von IMAGES/STORIES/2017/LANDESMEDIENANSTALT

Die Landesmedienanstalt NRW verschickt aktuell wieder Briefe an Streamer im deutschen Bundesland. In der Vergangenheit wurden von der Behörde bereits bekannte Let‘s-Player wie Gronkh und PietSmiet aufgefordert eine Rundfunklizenz zu beantragen oder andernfalls mit hohen Bußgeldern zu... [mehr]

250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]

AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

Logo von IMAGES/STORIES/2017/AVM

AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]