„Jigsaw“ verschlüsselt nicht nur Daten, sondern löscht stündlich

13. April, 2016

Ransomware „Jigsaw“, benannt nach der Filmfigur, die in der Erpresserbotschaft gezeigt wird, scheint tatsächlich vor allem eines zu wollen: ein Spiel spielen. Wie bei Ransomware mittlerweile üblich, wird mit den Daten der User gespielt, Einsatz sind 0,4 Bitcoins oder 150 $. Bei den Spielregeln setzt „Jigsaw“ allerdings neue Standards.

Die gute Nachricht vorweg: Es gibt bereits einen Weg, die Daten, die von „Jigsaw“ verschlüsselt wurden, kostenlos wieder herzustellen. Zahlen ist daher nicht notwendig – schnell reagieren hingegen schon. Denn „Jigsaw“ verschlüsselt die Daten nicht nur, sondern droht auch damit, diese unwiederbringlich zu löschen, wenn das geforderte Lösegeld nicht schnell (genug) bezahlt wird: Alle 60 Minuten wird gelöscht – erst nur ein File, später in immer größeren Mengen, und nach Ablauf von 72 Stunden schließlich alles. Ein Neustart des Rechners (oder Programms) kostet übrigens 1.000 Files, da versteht „Jigsaw“ keinen Spaß.

jigsaw-verschluesselt-nicht-nur-daten-sondern-loescht-stuendlich

Spielende: Daten entschlüsseln und Malware entfernen

Bleepingcomputer.com hat gemeinsam mit Analysten von MalwareHunterTeam und DemonSlay335 den JigSaw Decryptor (Download-Link) entwickelt. Noch vor dem Download sollten aber die Prozesse firefox.exe und drpbx.exe beendet werden, um das Löschen von Daten zu verhindern bzw. zu stoppen. Denn diese können tatsächlich nicht mehr wiederhergestellt werden. Dann sollte mit MSConfig der Eintrag firefox.exe im Systemstart deaktiviert werden, der auf das %UserProfile%\AppData\Roaming\Frfx\firefox.exe Executable zeigt, um einen Neustart des Programms zu unterbinden.

Details zur Verbreitung der Ransomware sind derzeit nicht bekannt, ein beliebter und kostengünstiger Infektionsweg ist und bleibt Spam. Die Trojaner lauern dabei längst nicht mehr nur in verdächtigen Anhängen, auch Office-Dateien oder PDFs sind anfällig. Die neuesten Generationen der Ransomware verwenden direkt in die E-Mail eingebettete JavaScripts, die auch für Antiviren-Programme viel schwieriger zu erkennen sind und meist nur als Dropper fungieren, um die eigentliche Malware nachzuladen. Wir raten daher zu besonderer Achtsamkeit.

Sicherheitsempfehlungen:

Installieren und aktualisieren Sie Antiviren-Software, Spam-Filter, Firewall und IPS so oft wie möglich.
Blockieren Sie JavaScript-Inhalte von nicht vertraulichen Quellen.
Hindern Sie, wenn möglich, JavaScript am automatischen Ausführen.
Löschen Sie E-Mails mit Links und Anhängen nicht bekannter Absender bzw. nicht erwartete Nachrichten im Zweifelsfall
Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand.
Hindern Sie die Verzeichnisse AppData und Startup am Ausführen von unbekannten Executables.
Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros.
Informieren Sie sich (und Ihre MitarbeiterInnen, Familienmitglieder…) über die aktuellen Gefahren.
Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf.