Neue „Jigsaw“-Ransomware löscht stündlich Dateien, bis gezahlt wird
Ransomware ist aktuell die Geißel der unvorsichtigen Nutzer und nebenbei ein weiterer Versuch zwielichtiger Elemente, ihre eigene Kasse ein wenig aufzubessern: Ein kleiner Klick auf einen Anhang, den der Nutzer ohne weitere Sorgfalt öffnet und das Unheil nimmt seinen Lauf. Persönliche Daten werden verschlüsselt, bis – so wird den Usern Glauben gemacht – eine Zahlung erfolgt und man seine persönlichen Daten wieder entschlüsseln kann. Die Realität dürfte oft anders aussehen und aktuell macht eine neue Art von Ransomware die Runde.
Deren Schöpfer haben sich offenbar von der „Saw“-Filmreihe inspirieren lassen und sorgen nicht nur dafür, dass die Dateien der Geschädigten verschlüsselt werden. Als kritischer Faktor kommt – ganz der Filmvorlage entsprechend – ein Countdown ins Spiel (hier sind es 24 Stunden), der stündlich die verschlüsselten Dateien und je Start 1000 davon löscht und so den User zur Zahlung von 20 bis 200 US-Dollar in Bitcoins zwingen möchte.
Soviel zu einem Teil der schlechten Nachricht, da sich das Verhalten der „Jigsaw“-Ransomware deutlich von den bisher bekannten Varianten unterscheidet. Auch der Verbreitungsweg ist aktuell noch unbekannt.
Die gute Nachricht folgt aber auf dem Fuß und zwar scheint es bereits möglich, auch ohne Zahlung wieder an seine Daten zu kommen: Ein paar findige User haben das ganze Szenario auf der Webseite Bleeping Computer einmal nachgestellt und bieten gratis eine Entschlüsselungs-Software an. Hier gilt es, die Windows-Prozesse firefox.exe und drpbx.exe erst einmal über den Task Manager zu beenden.
Eine Prüfung via MSConfig sollte dann ergeben, dass die Datei firefox.exe, welche unsinnigerweise im Pfad %UserProfile%\AppData\Roaming\Frfx liegt, beim Systemstart ausgeführt wird. Löscht Ihr diesen Eintrag, wird zumindest das Ausführen der Ransomware nach dem Neustart des Gerätes unterbunden – auch die Prüfung, ob gegebenenfalls die Datei drpbx.exe gestartet wird, sollte parallel durchgeführt werden.
Habt Ihr diese Schritte hinter Euch, ladet Ihr Euch den JigSawDecrypter herunter und könnt im weiteren Verlauf den jeweiligen Ordner, der die verschlüsselten Dateien oder eben das gesamte Laufwerk angeben. Eine anschliessende Meldung sollte Euch dann informieren, ob die Dateien ordnungsgemäss entschlüsselt sind – ist dies geschehen, solltet Ihr mit einer entsprechenden Security-Software (sofern noch nicht vorhanden) das System vollständig prüfen.
Auffällig ist, dass offensichtlich unterschiedliche Varianten dieser Ransomware im Umlauf sind – einige (beispielsweise die portugiesische) sind so gestaltet, erst ab dem 06. April 2016 ihre bösartige Wirkung zu entfalten, andere wiederum waren offensichtlich schon seit dem 23. März aktiv. Auch der zu zahlende Betrag variiert zwischen 20 und 200 US-Dollar, so dass auch hier bewußt die Intention der Hintermänner hinterfragt werden muss: Ist „JigSaw“ eine Aktion just for fun, also ein großes Spiel oder wie die bisher bekannten Varianten eher gewinnorientiert? Wahrscheinlich eine Mischung aus beiden, wenngleich das Verhaltensmuster im Vergleich zu Locky & Co. schon ein wenig anders ist.
Die Dateien, die von dieser Ransomware angegriffen und verschlüsselt werden, besitzen übrigens die folgenden Endungen:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar
Sobald eine Datei verschlüsselt wird, landet der Dateiname in einer Liste, die im Benutzerprofil im Pfad %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt. liegt. Dazu packt JigSaw eine Bitcoin-Adresse in eine Datei und legt diese unter dem Pfad %UserProfile%\AppData\Roaming\System32Work\Address.txt ab.
Dateien, die mit JigSaw in Verbindung gebracht werden können, sind unter anderem
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList
Auch ein Blick in die Registrierung lohnt sich als Zusatz zum Löschen des Starteintrages via MSConfig:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe
Ihr seht, auch in negativer Hinsicht sind dem Erfindungsgeist von Menschen keine Grenzen gesetzt. Haltet also Eure Sinne zusammen und Eure Security-Software (welche auch immer) aktuell, sichert regelmässig Eure Daten beziehungsweise Eure Installationen (gerne in Bereiche, die nicht direkt mitinfiziert werden können) und öffnet nicht wild jeden Anhang, der Euch per Mail erreicht. Sollte eigentlich alles selbstverständlich und eine Sache des gesunden Menschenverstandes sein, sieht in der Praxis – ich erlebe es nahezu täglich – meistens anders aus. Kein Schädling dieser Art kommt von allein auf Euer System und jeder verkappte Panzerknacker, der Eure Festplatte erreicht, ist die logische Reaktion auf irgendeine vorangegangene Aktion. In diesem Sinne: Spielt bitte kein Spiel mit JigSaw!
Wird geladen ...
Was genau meinst du im Artikel mit “welche unsinnigerweise im Pfad“? unsinnigerweise?
Cool, ziemlich kreativ.
Mein erster Gedanke war, ob auch Linux und OS X Nutzer bald Angst um sowas haben müssen, weil Windows zukünftig mit der Bash trumpft. Dann hätte man eine einfache und gemeinsame Script Grundlage für alle 3 großen Plattformen. Meinungen?
Ich kann gar nicht schreiben, was ich von solchen Kreaturen halte…
@Pietz
Selbstverständlich. Der Grund für die vorrangigen Angriffe auf Windows-Rechner ist schlicht die höhere Verbreitung.
Auf Grund steigender Verbreitung von OSX, vor allem gepaart mit teilweise eklatanter Naivität (es gibt immer noch Menschen, die glauben Viren etc. könnte es unter OSX nicht geben) wird das System aber zunehmend attraktiv für Malware.
@Mike: Ich denke er meint mit unsinnig, dass der Pfad nicht auf das echte, orignale Firefox verweist, sondern auf einen vom Virus erstellten. Üblicherweise heißt der \Mozilla\Firefox\ und nicht \Frfx\.
Wie kann denn die ransomware ohne Admin-Rechte installiert werden???
@Mike: Ich meinte genau das, was @Juzam erklärt hat – unsinnigerweise ein gänzlich anderer Pfad als die originale EXE.
@Jones – Er installiert nichts, legt aber alles brav in den jeweiligen Userbereich an, gilt auch für die Registry – das klappt selbst mit Hauptbenutzerrechten, weil auf seine eigenen Profilordner nunmal jeder Zugriff hat.
@Joe – Exakt so. Hatte letzte Woche einen Mac mit einem untergejubelten MacKeeper und fiesen Sucherweiterungen in Chrome und Safari, die Dir Bing vorgaukeln wollten. Zitat des Users war „Ich dachte, der Mac ist so sicher“. Ja, aber der Fehler sitzt halt vor dem Bildschirm und bei entsprechender Verbreitung werden auch diese Plattformen halt angegriffen.
@Jones
für diese Verzeichnisse braucht es keine Adminrechte..
Die Frage ist, werden auch Netzwerkfreigaben verschlüsselt? Wäre doof wenn auf einmal das ganze NAS über die Wupper ist.
„Persönliche Daten werden verschlüsselt, bis – so wird den Usern Glauben gemacht – eine Zahlung erfolgt und man seine persönlichen Daten wieder entschlüsseln kann. Die Realität sieht meistens anders aus“
Wirklich? Hast du irgendwelche Quellen für diese Behauptung? Würde mich interessieren. Warum empfiehlt dann das FBI das Lösegeld zu bezahlen wenn man die Daten sowieso nicht entschlüsseln kan?
@Musi – So vermessen sollte niemand sein. Jedes System ist unsicher, solange die User davor nicht wissen, was sie tun oder es ihnen schlichtweg egal ist. Das Ding, was ich auf OS X gefunden habe, war ein tolles Shellscript, was sich die Extensions wunderbar heruntergeladen und platziert hat – am Ende der Diskussion (übrigens einer unserer Geschäftsführer auf der Arbeit) hiess es dann „Kann sein, dass ich doch irgendwo drauf geklickt habe“. Soviel dazu, aber die Annahme war, Mac ist ja zu 100% sicher – das ist aber ein anderes Thema. Ich nutze beide Systeme mit allen Vorzügen und / oder individuell empfundenen Nachteilen und bin fest der Meinung, dass am Ende so ziemlich immer der User das Einfallstor für solche Schädlinge ist.
@DrDee – Gegenfrage: Wie wahrscheinlich ist es, dass Leute, die sowas kreieren, sich an von ihnen selbst aufgestellte Spielregeln halten, wenn sie einmal die Zahlung erhalten haben? Ist eine persönliche Glaubensfrage, die ich mir persönlich recht einfach beantworten kann und ganz ehrlich: Was das FBI empfiehlt oder nicht, sehe ich persönlich recht kritisch und es ist mir als Nicht US-Bürger auch relativ egal 🙂 !
Ich wüsste aber von keinem belegten Fall, in dem User nach einer Zahlung an obskure Empfänger himmelhochjauchzend durch die Gegend gerannt sind und dabei „Ich habe meine Daten wieder“ gebrüllt haben. Ich verstehe aber Deinen Punkt und habe mal meine Aussage in ein „dürfte ganz anders aussehen“ geändert, denn eine Garantie für irgendetwas gibt es nicht 😉 !
Ganz interessant dazu übrigens: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf;jsessionid=8BC86286A29AD8F071840C96845BC57F.2_cid294?__blob=publicationFile&v=2
@Ronny – Wie das bei dem JigSaw-Kollegen aussieht: Keine Ahnung, aber zumindest die Backup-Share, sofern eine vorhanden ist, sollte übers Netz nicht ohne Authentifizierung verfügbar sein meiner Meinung nach…
@Oliver Pifferi: Ich sehe das aus wirtschaftlicher Perpektie: wenn es sich rumspricht, dass die Erpresser den Schlüssel auch nach Bezahlung nicht rausgeben, wird niemand mehr bezahlen und das Geschäftsmodell ist zerstört. Den Schlüssel bei Bezahlung herauszugeben kostet die Erpresser hingegen nichts und er kann weitermachen.
Ich sage nicht, dass du das tun sollst, was das FBI sagt. Aber warum sollten die empfehlen, dass man Kriminelle unterstützt? Die Empfehlung des BSI ist nicht zu Zahlen. Aber es sind ja auch nicht deren Daten und natürlich wollen sie keine Finanzierung von Kriminellen. Sie scheiben sogar „Auch solche Fälle sind bekannt“ im Bezug auf das Nicht-funktionieren der Entschlüsselung aber die Formulierung lässt darauf schließen dass es wenige Fälle von vielen sind.
Natürlich wird kein User jubeln wenn seine Daten wieder da sind. Er musste ja für etwas zahlen, was er vorher schon hatte. Aber wenn es nicht klappen würde, würden die User sicher laut schreien dass es nichts bringt zu Zahlen. Wenn Krankenhäuser und Stadtverwaltungen Lösegeld zahlen (Steuergeld!) und das für nichts wäre das Mediale Echo wohl noch lauter. Zumindest würde es in der Berichterstattung erwähnt.
Es sei denn die Journalisten schreiben nach persönlichem Glauben und ohne Recherche und kümmern sich nicht um Quellen bzw Organisationen die im Ausland sitzen weil es ihnen egal ist.
@DrDee – Ich verstehe da Deinen Punkt und abhängig, wie wichtig mir die Dateien sind und / oder ob ich ein funktionierendes Backup hätte, würde ich als Betroffener wohl nach irgendeinem Strohhalm greifen, aber per se bin ich kein Freund von modernen Raubrittertum 😉 . Ob es dann aber Sinn macht, die Kollegen so anzufeuern und ihnen das „Hey, Eure Masche klappt super“ durch ein Tätscheln auf die virtuelle Schulter noch zu bestätigen, sei mal dahingestellt. Reagiert keiner, stirbt dieses Modell und irgendwann plagt uns die nächste Seuche. Das mag aber jeder anders sehen, der wirtschaftliche und somit monetäre Aspekt (halt der Antrieb hinter all dem) ist natürlich nicht von der Hand zu weisen.
FBI und BSI sind Beispiele. Die einen weisen darauf hin und haben aktuell eh keine gute Presse, die anderen haben ein entsprechendes Whitepaper ausgehändigt, aber was jeder für sich tut, wenn das Kind mal in den Brunnen gefallen ist, kann einem keiner sagen. Schaust Du Dir mal aktuelle Quellen an, findest Du zig Informationen zu den verschiedenen Formen von Ransomware und ihrer Verbreitung, aber fast gar nichts zu Erfolgs- oder Misserfolgsaussichten.
Persönlich finde ich es auch unverantwortlich, wenn ein Krankenhaus gezwungen ist, das Steuergeld der Bürger in solch obskure Kanäle zu pumpen, um „vielleicht“ die eigenen Daten (die anscheinend nicht ordnungsgemäß gesichert worden sind) wiederzuerlangen – ist ja in den USA so geschehen.
Auf jeden Fall ist das gerade in Bezug auf die Quellen, die über Erfolg (subjektiv seltener) oder Misserfolg (subjektiv gesehen die Regel) berichten, schwer zu greifen und ja, gerade deswegen enthält der Artikel auch eine persönliche Note eines ITlers, der unter anderem damit sein Geld verdient – sieh‘ es mir also bitte nach 🙂 !
@DrDee
in meinem beruflichen Umfeld gab es mehrere Fälle, wo es trotz Bezahlung entweder keine Kommunikation von Seiten des Erpressers gab, oder der versendete Schlüssel nicht funktionierte.
Natürlich wird es auch andere Fälle geben, ich persönlich neige mittlerweile dazu, den „es gibt keine Leistung“ nach Bezahlung anzunehmen
Meine (subjektive) Erklärung dazu:
Für einen gut funktionierenden „Geldeingang- Ausgabe Schlüssel “ Workflow bedarf es einige Ressourcen auf Seiten des Erpressers:
Überwachen Geld / Bitcoin Eingang
Kundenverwaltung
Zuordnen des entsprechenden „Kunden“
Erstellen des personifizierten Schlüssels
Zusendung desselbigen an Kunden
entsprechender Support / Kommunikation bei Anfragen diverser Art und Weise
Das kostet Aufwand und erhöht die Gefahr des „Gefasst werden“ um einiges durch
Einbeziehung dritter
Kommunikation per Mail
Im Gegensatz dazu hat der Erpresser wohl kein Bedarf an einer länger andauernden Geschäftsbeziehung.
Die Meinung seines Kunden ist Ihm also vollkommen egal.
Es existiert ja auch kein Medium, auf / mit dem die Kunden Ihre Meinung austauschen könnten:
Rezension bei Amazon Ramsonware Shop:
ja, die Verschlüsselung war sehr gut, aber die Kommunikation war scheisse,
außerdem passt die Darstellung nicht zu meinen Ansprüchen als Mac User…
Und freiwillig posaunen die wenigsten Kunden Ihre Problematik durch die Gegend ..
Letztendlich gibt es genau keinen Vorteil für den Erpresser die Sache wirklich wieder zu entschlüsseln, außer das er Nachts ruhig schlafen kann.
Das kann er aber auch so, denk ich mal..
@ Oliver
Wie wäre es dann mal mit einem Artikel zu kostenlosen Antivirenlösungen oder anderer Sicherheitssoftware für den Mac. Schwerpunkt gerne auch darauf, welche das System möglichst wenig belasten aber ausreichenden Schutz bieten.
Was für eine Antivirenlösung nutzt du denn für den Mac? Und hätte ein Antivirusprogramm z.B. gegen diese aktuelle Ransomeware geholfen?
Natürlich ist man auf einem Mac nicht automatisch sicher. Ich glaube das haben wir inzwischen alle verstanden. Nichtsdestotrotz gibt es nach meinem Kenntnisstand 51 Fälle von Malware und 1 Fall von Ransomware in der Geschichte des OSX Betriebsystems. Das finde ich eine eindrucksvoll überschaubare Zahl.
Jaaa, aber es gibt ja auch viel weniger OSX Rechner und deshalb suchen sich die bösen Buben immer die Windows Computer aus – höre ich schon die Leute schreien. Aber selbst dann müsste sich das Verhältnis der Malwares, Viren und Ransomwares ja in etwa in einem ähnlichen Verhältnis aufteilen, wie die Verteilung des Betriebssystem selber. Das ist aber bei weitem, weitem, weitem nicht der Fall.
Ein wenig ist also dran, dass Macs sicherer zu sein scheinen als Windows Rechner. Gleiches gilt für Linux, auf Grund der in UNIX implementierten User-Rechteverwaltung.
@Frank: Ich befürchte die bringen alle nichts. Auf OSX kannst du eigentlich nur Gefahr laufen, wenn du dir einen brand neuen Übertäter einfängst. Diese Lücken werden von Apple meist innerhalb von 48h gefixt. Ich denke nicht, dass ein kostenloses Hilfsprogramm schneller reagiert als das. Anders ist es bei Firmen wie zB. Kaspersky und ihrem bezahlten Windows Antivirenprogramm. Da sitzen rund um die Uhr und auf aller Welt Menschen bei der Arbeit und können extrem schnell reagieren. Ich erwähne die Firma nicht aus Werbung, sondern weil ein Mitarbeiter mal deren Operationsstruktur bei uns an der Uni vorgestellt hat.
@Oliver: Extrem sympathisch wie aktiv du in den Kommentaren bist
Wenn es tatsächlich Fälle gibt, in welchen dem Opfer ein Key zugesendet wurde, der auch noch funktionierte, würde ich das eher für einen Zufall halten.
Kann man denn in der Software überhaupt irgendwo angeben, dass man gezahlt hat? Mit irgend einer Art Beleg? Einem zufällig generierten vierstelligen Code, den einem der Schädling angibt?
Und selbst dann Müsste der Erpresser den Schlüssel dem Opfer irgendwie zukommen lassen. Wenn das direkt über die Software läuft, müsste die ja Verbindung zu einem Server haben und sich das Ganze letztlich aushebeln, stilllegen, kapern, deaktivieren etc lassen können. Oder etwa nicht? Mir ist natürlich klar, dass so etwas Zeit seitens der Ermittler braucht.
Es scheint mir auf jeden Fall einfach nicht logisch, dass die Erpresser überhaupt nur daran denken, irgendwelche Keys zu verschicken.
@Frank – So ein Artikel könnte wieder zu Diskussionen über die Apple-Blase führen und eigentlich ist das schwer auf den Punkt zu bringen. Der Großteil der Mac-Anwender, die ich kenne, nutzen ihr System und das mit Bedacht – für das genannte Beispiel (übrigens der erste „Effekt“ dieser Art, den ich seit 2006 unter OS X erlebt habe) habe ich den Müll mit ein wenig Google und dem App Cleaner erstmal in den Papierkorb gejagt und dann den kostenlosen Avast, der dann noch diverse andere Files gefunden hat, drübergejagt. Bin da aber vorsichtig optimistisch, weil ich einem einmal (auf welchem Wege auch immer) infizierten System nicht mehr wirklich traue (Aluhut-Fraktion). MacKeeper und Zipcloud (http://www.zdnet.de/88266195/gefaelschtes-flash-update-bedroht-mac-anwender/) waren übrigens auf dem genannten System zu finden
Ansonsten würde bin ich im Windows-Unternehmensbereich mit den Trend Micro Client-/Server-Security Lösungen (Worry Free bzw. Office Scan) immer gut gefahren und für Heim-PCs spricht eigentlich in meinen Augen fast nix gegen Kaspersky, der versieht auch auf den Geräten im Haushalt seinen Dienst. Das sieht aber jeder anders, ist halt eine Glaubensfrage: Security Suite ja oder nein und wenn das geklärt ist: Welche? Das muss jeder für sich selbst entscheiden.