Neue „Jigsaw“-Ransomware löscht stündlich Dateien, bis gezahlt wird

14. April 2016 Kategorie: Internet, geschrieben von: Oliver Pifferi

artikel_jigsawRansomware ist aktuell die Geißel der unvorsichtigen Nutzer und nebenbei ein weiterer Versuch zwielichtiger Elemente, ihre eigene Kasse ein wenig aufzubessern: Ein kleiner Klick auf einen Anhang, den der Nutzer ohne weitere Sorgfalt öffnet und das Unheil nimmt seinen Lauf. Persönliche Daten werden verschlüsselt, bis – so wird den Usern Glauben gemacht – eine Zahlung erfolgt und man seine persönlichen Daten wieder entschlüsseln kann. Die Realität dürfte oft anders aussehen und aktuell macht eine neue Art von Ransomware die Runde.

Deren Schöpfer haben sich offenbar von der „Saw“-Filmreihe inspirieren lassen und sorgen nicht nur dafür, dass die Dateien der Geschädigten verschlüsselt werden. Als kritischer Faktor kommt – ganz der Filmvorlage entsprechend – ein Countdown ins Spiel (hier sind es 24 Stunden), der stündlich die verschlüsselten Dateien und je Start 1000 davon löscht und so den User zur Zahlung von 20 bis 200 US-Dollar in Bitcoins zwingen möchte.

Jigsaw_Artikelbild

Soviel zu einem Teil der schlechten Nachricht, da sich das Verhalten der „Jigsaw“-Ransomware deutlich von den bisher bekannten Varianten unterscheidet. Auch der Verbreitungsweg ist aktuell noch unbekannt.

Die gute Nachricht folgt aber auf dem Fuß und zwar scheint es bereits möglich, auch ohne Zahlung wieder an seine Daten zu kommen: Ein paar findige User haben das ganze Szenario auf der Webseite Bleeping Computer einmal nachgestellt und bieten gratis eine Entschlüsselungs-Software an. Hier gilt es, die Windows-Prozesse firefox.exe und drpbx.exe erst einmal über den Task Manager zu beenden.

Eine Prüfung via MSConfig sollte dann ergeben, dass die Datei firefox.exe, welche unsinnigerweise im Pfad %UserProfile%\AppData\Roaming\Frfx liegt, beim Systemstart ausgeführt wird. Löscht Ihr diesen Eintrag, wird zumindest das Ausführen der Ransomware nach dem Neustart des Gerätes unterbunden – auch die Prüfung, ob gegebenenfalls die Datei drpbx.exe gestartet wird, sollte parallel durchgeführt werden.

Habt Ihr diese Schritte hinter Euch, ladet Ihr Euch den JigSawDecrypter herunter und könnt im weiteren Verlauf den jeweiligen Ordner, der die verschlüsselten Dateien oder eben das gesamte Laufwerk angeben. Eine anschliessende Meldung sollte Euch dann informieren, ob die Dateien ordnungsgemäss entschlüsselt sind – ist dies geschehen, solltet Ihr mit einer entsprechenden Security-Software (sofern noch nicht vorhanden) das System vollständig prüfen.

Diese Diashow benötigt JavaScript.

Auffällig ist, dass offensichtlich unterschiedliche Varianten dieser Ransomware im Umlauf sind – einige (beispielsweise die portugiesische) sind so gestaltet, erst ab dem 06. April 2016 ihre bösartige Wirkung zu entfalten, andere wiederum waren offensichtlich schon seit dem 23. März aktiv. Auch der zu zahlende Betrag variiert zwischen 20 und 200 US-Dollar, so dass auch hier bewußt die Intention der Hintermänner hinterfragt werden muss: Ist „JigSaw“ eine Aktion just for fun, also ein großes Spiel oder wie die bisher bekannten Varianten eher gewinnorientiert? Wahrscheinlich eine Mischung aus beiden, wenngleich das Verhaltensmuster im Vergleich zu Locky & Co. schon ein wenig anders ist.

Die Dateien, die von dieser Ransomware angegriffen und verschlüsselt werden, besitzen übrigens die folgenden Endungen:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

jigsaw-ransom-note

Sobald eine Datei verschlüsselt wird, landet der Dateiname in einer Liste, die im Benutzerprofil im Pfad  %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt. liegt. Dazu packt JigSaw eine Bitcoin-Adresse in eine Datei und legt diese unter dem Pfad %UserProfile%\AppData\Roaming\System32Work\Address.txt ab.

Dateien, die mit JigSaw in Verbindung gebracht werden können, sind unter anderem

%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList

Auch ein Blick in die Registrierung lohnt sich als Zusatz zum Löschen des Starteintrages via MSConfig:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe

Ihr seht, auch in negativer Hinsicht sind dem Erfindungsgeist von Menschen keine Grenzen gesetzt. Haltet also Eure Sinne zusammen und Eure Security-Software (welche auch immer) aktuell, sichert regelmässig Eure Daten beziehungsweise Eure Installationen (gerne in Bereiche, die nicht direkt mitinfiziert werden können) und öffnet nicht wild jeden Anhang, der Euch per Mail erreicht. Sollte eigentlich alles selbstverständlich und eine Sache des gesunden Menschenverstandes sein, sieht in der Praxis – ich erlebe es nahezu täglich – meistens anders aus. Kein Schädling dieser Art kommt von allein auf Euer System und jeder verkappte Panzerknacker, der Eure Festplatte erreicht, ist die logische Reaktion auf irgendeine vorangegangene Aktion. In diesem Sinne: Spielt bitte kein Spiel mit JigSaw!


 

Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: Oliver Pifferi

Digital Native, der trotzdem gerne das Mittelalter erlebt hätte und chronischer Device-Switcher. Multimediafreak. England-Fan. Freier Autor & Tech Blogger. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hoffnungsvoller Idealist. Gladbacher Borusse und hauptberuflicher IT-Consultant. Auch zu finden bei Twitter, Google+, Facebook, Instagram und XING. PayPal-Kaffeespende an den Autor.

Oliver hat bereits 431 Artikel geschrieben.