> > > > Ransomware Jigsaw löscht stündlich Dateien bis zur Zahlung

Ransomware Jigsaw löscht stündlich Dateien bis zur Zahlung

Veröffentlicht am: von

jigsaw ransomwareAktuell wütet auch auf deutschen PCs eine neue Ransomware namens Jigsaw. Benannt ist das Programm nach dem Killer aus den Horror-Filmen der Reihe „Saw“. Im Unterschied zu anderen Trojanern, die Daten auf infizierten Rechnern ebenfalls verschlüsseln, geht Jigsaw bis zur Zahlung eines Lösegeldes drastischer vor. So wartet die Ransomware nicht einfach untätig ab, sondern löscht stündlich neue Dateien, um eine Entscheidung zu erzwingen. Wer unter Jigsaw zu leiden hat, hat im Grunde aber noch „Glück im Unglück“. Denn im Gegensatz zu manch anderer Ransomware gibt es für Jigsaw ein kostenloses Entschlüsselungs-Tool. Wer dennoch ausharrt, erlebt, wie Jigsaw stündlich eine Datei vom Rechner schmeißt. Lässt man es auf einen Neustart ankommen, löscht Jigsaw sogar quasi zur Strafe direkt 1.000 einzelne Dateien. Maximal 72 Stunden soll Jigsaw laut Lösegeldforderung wüten, dann müssen bei Ausbleiben einer Zahlung alle Daten dran glauben.

jigsaw ransomware banner

Seltsam ist, dass die verlangte Summe variiert. Während einige Anwender in Bitcoins 150 Euro zahlen sollen, liegt die Summe bei anderen Leidtragenden bei eher moderaten 20 Euro. Warum die Summen so stark variieren, ist derzeit unbekannt. Dem Datentod von der Schippe springen, kann man allerdings dank dreier Sicherheitsforscher mit den Pseudonymen DemonSlay335, MalwareHunterTeam und myself. Sie haben den JigsawDecryptor veröffentlicht. Damit er funktioniert, müssen allerdings die betroffenen Prozesse gestoppt werden. Das sind konkret „drpbx.exe“ und „firefox.exe“, die durch ihre an Dropbox und Firefox erinnernden Namen darüber hinwegtäuschen sollen, dass sie zur Ransomware gehören. Auch der Start-Eintrag für firefox.exe sollte entfernt werden – das geschieht am leichtesten über Msconfig.exe. Weitere Dateien, die es zu löschen gilt, sind unter dem Ordner „%UserProfile%\AppData\Roaming\Frfx\firefox.exe“ zu finden und zu löschen. Wurden diese Schritte bewerkstelligt, kann der JigsawDecryptor die verschlüsselten Daten wieder entschlüsseln. Jigsaw bennent die verschlüsselten Dateien mit neuen Endungen wie .BTC, .FUN und .KKK um.

Jigsaw verbreitet sich offenbar vor allem als infizierter E-Mail-Anhang. Wie immer gilt es also, Vorsicht walten zu lassen beim Öffnen von Dateianhängen. Den JigsawDecryptor können Betroffene direkt hier herunterladen.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (25)

#16
Registriert seit: 19.03.2008

Hauptgefreiter
Beiträge: 202
Gab es das so massiv eigentlich auch schon vor der Bitcoin-"Ära"?
#17
Registriert seit: 26.04.2015

Bootsmann
Beiträge: 727
Zitat der_Schmutzige;24495132
Beweist mal wieder die Wichtigkeit häufiger Backups von OS und Daten.


Nur damit dir der Trojaner dann auch dein Backup verschlüsselt (davon gibt es auch welche). Da muss man dann die Backupplatte schon physisch vom PC abhängen und nur zum Backupen wieder anhängen (und in der Zeit besteht dann auch wieder ein Risiko).
#18
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
€uropäische Union - Bairischer Sprachraum
Fregattenkapitän
Beiträge: 2609
Backup vom System bzw BS macht man aber nur alle Heillige Zeiten mal, und nicht jede Woche.
Natürlich ist es wichtig die Backup-Platte nicht dauerhaft am PC angeschlossen zu haben, am besten nutzt man mindestens Zwei platten, eines für Regelmäßiges Backup und eines wo man längere Zeit dazwischen hat.
Solche Schadprogramme sind nicht Monatelang inaktiv, daher können sie bei einer vernünftigen Backup-Strategie nichts ausrichten - Bei privaten PC's wohlgemerkt, bei Firmen sieht das Teils natürlich anders aus.
#19
customavatars/avatar226085_1.gif
Registriert seit: 07.08.2015
Athen
Oberleutnant zur See
Beiträge: 1283
Zitat Betabrot;24495738
Nur damit dir der Trojaner dann auch dein Backup verschlüsselt (davon gibt es auch welche). Da muss man dann die Backupplatte schon physisch vom PC abhängen und nur zum Backupen wieder anhängen (und in der Zeit besteht dann auch wieder ein Risiko).


rofl....ein Backup ist erst ein Backup wenn das Medium getrennt wird. Bis dahin ists nur eine Kopie ohne Schutz.
#20
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3694
Jeps. Selbst hier wissen offenbar einige nicht was ein Backup ist... .
#21
Registriert seit: 05.01.2010

Kapitän zur See
Beiträge: 3321
Zitat der_Schmutzige;24495228
Öööyyy Vorsicht, kecker Jungling! :shot:
...
Kann Dich aber beruhigen: Das mit dem Verallgemeinern wird sich verlieren, wennste selber mal 50 bist. ;)


Wo ist der Daumenhoch-Button, wenn man ihn braucht! :d
#22
Registriert seit: 01.05.2007

Korvettenkapitän
Beiträge: 2402
Ein Backupmedium gehört nur für die Zeit des Backups mit dem PC verbunden.
Nicht nur wegen der Schädlingsgefahr, sondern auch wegen andere möglicher Scenarien wie Überspannung etc., die bei verbundenem Backupmedium dann auch das Backupmedium zerstören würde.

Und man sollte immer mehrere Backup-Generationen haben.
Ist eine Generation nicht mehr lesbar (z.B. wegen defektem Backupmedium) oder virenverseucht, so kann man dann noch eine Generation davor zurückgehen.
Für den Privatgebrauch reicht eine 3-Generationen-Sicherung, das sog. Großvater-Vater-Sohn-Prinzip.
Man nimmt dann immer das Medium mit der ältesten Sicherung und macht darauf das Backup.
So kann man im Notfall immer noch 2 Generationen zurück gehen.

Ein Betriebssystem würde ich gesondert von den Daten sichern.
Da reicht es aus, nur dann eine neue Sicherung zu machen, wenn sich gravierende Dinge am Betriebssystem ändern (z.B. neuer Treiber wegen geänderter Hardware).
#23
customavatars/avatar113331_1.gif
Registriert seit: 12.05.2009
de_dust2
Kapitänleutnant
Beiträge: 1565
Zitat timo82;24495409
Ich hab die dummen 50er gemeint.
Es gibt auch schlaue. Dich würde ich dazuzählen.


Warum? Weil er nem 22 jährigen nen Rechner zusammen schrauben kann und es ganz alleine schafft nen OS zu installieren? Nicht falsch verstehn, würd ihn jetzt auch nicht als dumm hinstellen. Zumal das überhaupt nix mit dem alter zu tun hat. Aber nur weil man nen Rechner zusammenschrauben kann, ist man noch lange nicht Skilled. Und befreit einen nicht vor der Gefahr, auf gut gemachte Pishing Seiten oder Viren reinzufallen. ;)
#24
customavatars/avatar93849_1.gif
Registriert seit: 26.06.2008
Bremen
Kapitänleutnant
Beiträge: 1808
hallo und auch schon wider entschlüsselt https://www.youtube.com/watch?v=ZspjLZagzPw
#25
customavatars/avatar275501_1.gif
Registriert seit: 06.10.2017

Matrose
Beiträge: 0
Die Chance zur Dekodierung ist immer da, zum Beispiel:
Die Krypto-Ransomware Brut, bekannt als Crysis oder Dharma, scheint sich für einen Wiederaufstieg aufzustellen. Es hat seit Anfang August 2017 fast wöchentlich bösartige Nachkommen hervorgebracht, nachdem es monatelang in einem untätigen Zustand verharrte. Der letzte Ableger hat das Dateierweiterungs-Token .arena in die digitale Erpressungsumgebung eingeführt. Nach dem Verschlüsseln der personenbezogenen Daten eines Opfers hängt diese Crysis-Modifizierung Varianten spezifische Zeichenfolge an Original-Dateinamen an, in folgendem Format: id-{Opfer-ID}. [[email protected]].arena. Der variable Teil ist eine eindeutige Kennung, die dem infizierten Benutzer zugeordnet ist. Sie besteht aus acht hexadezimalen Zeichen. Letztlich verwandelt die Ransomware eine Datei namens Sample.docx in etwas wie Sample.docx.id-CFABE140.[[email protected]].arena.
Die .arena Datei Variante der Crysis-Ransomware verbreitet sich am häufigsten über gehackte Remote-Desktop Dienste. Eine Menge Leute verwenden die Vorgabe oder lächerlich leicht zu erratende RDP Anmeldeinformationen und Online-Täter wissen das definitiv. Nachdem sie in einem System gelandet sind, versucht die Infektion, Schattenkopien der Dateien des Opfers zu löschen, um diesen Träger der Wiederherstellung zu verhindern. Um es zu beenden, nutzt der Schädling bewährte Praktiken der Datenverschlüsselung, so dass es keine Möglichkeit gibt, die Dateien an diesem Punkt kostenlos zu entschlüsseln. Allerdings, falls das Arena-Virus VSS nicht deaktivieren konnte, stehen die Chancen gut, dass einige Dateien in ihren normalen Zustand wiederhergestellt werden können.
Arena-Virus: Wie man Dateien mit der .arena Erweiterung entschlüsseln « Linkmailer
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

FRITZ!OS 6.80 für die FRITZ!Box 7490 offiziell veröffentlicht (Update: nun...

Logo von IMAGES/STORIES/LOGOS-2013/AVM

Während das FRITZ!OS in der Version 6.80 schon seit einiger Zeit für die FRITZ!Box-Modelle 7580 und 7560 verfügbar ist, hat AVM nun auch für die FRITZ!Box 7490 den Startschuss freigegeben. Um vorneweg grobe Fehler zu vermeiden, wurden für die FRITZ!Box 7490 zuvor einige Beta-Versionen, so... [mehr]

MagentaZuhause GIGA: Gigabit per Glasfaseranschluss von der Telekom

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM

Die immer wieder wegen des schleppenden Glasfaserausbaus in der Kritik stehende Deutsche Telekom hat auf der IFA einen neuen Tarif für ihre bestehenden Glasfaseranschlüsse angekündigt, der in Teilen auch endlich das Potenzial der Glasfasertechnik nutzen soll. Der neue Tarif namens... [mehr]

Mozilla Firefox befindet sich auf direktem Weg in die Nische

Logo von IMAGES/STORIES/2017/MOZILLA_FIREFOX

Mozilla Firefox war eine ganze Zeit lang auf Erfolgskurs. Doch in den letzten Jahren ging es für den Browser immer weiter bergab: Die Marktanteile im Desktop-Bereich schwinden und auf Smartphones und Tablets ist zumindest unter Android aktuell zwar ein Wachstum zu verbuchen, im direkten... [mehr]

Vodafone kündigt GigaCube als Ersatz für Internetanschluss im Haus an

Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

Vodafone hat mit GigaCube eine Alternative zum herkömmlichen Internetanschluss im Haus vorgestellt. Vor allem der Einsatz in einer Zweitwohnung oder auch in einem Wochenendhaus nennt Vodafone als Einsatzgebiet. Mit GigaCube bietet der Netzbetreiber den Kunden die Möglichkeit, bis zu 50 GB... [mehr]

Landesmedienanstalten nehmen Streamer wie PietSmiet ins Visier

Logo von IMAGES/STORIES/2017/MEDIENANSTALTEN

Deutschland gilt ohnehin nicht unbedingt als das Land, das technischen Innovationen besonders offen gegenübersteht. Das gilt insbesondere, wenn es um Inhalte im Internet geht. Während zum Beispiel Content-Ersteller in den Vereinigten Staaten dank der Fair-Use-Regelung deutlich mehr Möglichkeiten... [mehr]

RTL schickt kostenlose Streaming-Plattform Watchbox ins Rennen

Logo von IMAGES/STORIES/2017/WATCHBOX_LOGO

RTL hat sich von seiner Marke Clipfish verabschiedet. Stattdessen schickt die Mediengruppe nun Watchbox ins Rennen. Dabei handelt es sich aber durchaus um mehr als ein umgetauftes Clipfish, denn im Zuge der Einführung der neuen Marke folgt auch eine strategische Neuausrichtung. Während... [mehr]