Neue „Jigsaw“-Ransomware löscht stündlich Dateien, bis gezahlt wird
Ransomware ist aktuell die Geißel der unvorsichtigen Nutzer und nebenbei ein weiterer Versuch zwielichtiger Elemente, ihre eigene Kasse ein wenig aufzubessern: Ein kleiner Klick auf einen Anhang, den der Nutzer ohne weitere Sorgfalt öffnet und das Unheil nimmt seinen Lauf. Persönliche Daten werden verschlüsselt, bis – so wird den Usern Glauben gemacht – eine Zahlung erfolgt und man seine persönlichen Daten wieder entschlüsseln kann. Die Realität dürfte oft anders aussehen und aktuell macht eine neue Art von Ransomware die Runde.
Deren Schöpfer haben sich offenbar von der „Saw“-Filmreihe inspirieren lassen und sorgen nicht nur dafür, dass die Dateien der Geschädigten verschlüsselt werden. Als kritischer Faktor kommt – ganz der Filmvorlage entsprechend – ein Countdown ins Spiel (hier sind es 24 Stunden), der stündlich die verschlüsselten Dateien und je Start 1000 davon löscht und so den User zur Zahlung von 20 bis 200 US-Dollar in Bitcoins zwingen möchte.
Soviel zu einem Teil der schlechten Nachricht, da sich das Verhalten der „Jigsaw“-Ransomware deutlich von den bisher bekannten Varianten unterscheidet. Auch der Verbreitungsweg ist aktuell noch unbekannt.
Die gute Nachricht folgt aber auf dem Fuß und zwar scheint es bereits möglich, auch ohne Zahlung wieder an seine Daten zu kommen: Ein paar findige User haben das ganze Szenario auf der Webseite Bleeping Computer einmal nachgestellt und bieten gratis eine Entschlüsselungs-Software an. Hier gilt es, die Windows-Prozesse firefox.exe und drpbx.exe erst einmal über den Task Manager zu beenden.
Eine Prüfung via MSConfig sollte dann ergeben, dass die Datei firefox.exe, welche unsinnigerweise im Pfad %UserProfile%\AppData\Roaming\Frfx liegt, beim Systemstart ausgeführt wird. Löscht Ihr diesen Eintrag, wird zumindest das Ausführen der Ransomware nach dem Neustart des Gerätes unterbunden – auch die Prüfung, ob gegebenenfalls die Datei drpbx.exe gestartet wird, sollte parallel durchgeführt werden.
Habt Ihr diese Schritte hinter Euch, ladet Ihr Euch den JigSawDecrypter herunter und könnt im weiteren Verlauf den jeweiligen Ordner, der die verschlüsselten Dateien oder eben das gesamte Laufwerk angeben. Eine anschliessende Meldung sollte Euch dann informieren, ob die Dateien ordnungsgemäss entschlüsselt sind – ist dies geschehen, solltet Ihr mit einer entsprechenden Security-Software (sofern noch nicht vorhanden) das System vollständig prüfen.
Auffällig ist, dass offensichtlich unterschiedliche Varianten dieser Ransomware im Umlauf sind – einige (beispielsweise die portugiesische) sind so gestaltet, erst ab dem 06. April 2016 ihre bösartige Wirkung zu entfalten, andere wiederum waren offensichtlich schon seit dem 23. März aktiv. Auch der zu zahlende Betrag variiert zwischen 20 und 200 US-Dollar, so dass auch hier bewußt die Intention der Hintermänner hinterfragt werden muss: Ist „JigSaw“ eine Aktion just for fun, also ein großes Spiel oder wie die bisher bekannten Varianten eher gewinnorientiert? Wahrscheinlich eine Mischung aus beiden, wenngleich das Verhaltensmuster im Vergleich zu Locky & Co. schon ein wenig anders ist.
Die Dateien, die von dieser Ransomware angegriffen und verschlüsselt werden, besitzen übrigens die folgenden Endungen:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar
Sobald eine Datei verschlüsselt wird, landet der Dateiname in einer Liste, die im Benutzerprofil im Pfad %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt. liegt. Dazu packt JigSaw eine Bitcoin-Adresse in eine Datei und legt diese unter dem Pfad %UserProfile%\AppData\Roaming\System32Work\Address.txt ab.
Dateien, die mit JigSaw in Verbindung gebracht werden können, sind unter anderem
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList
Auch ein Blick in die Registrierung lohnt sich als Zusatz zum Löschen des Starteintrages via MSConfig:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe
Ihr seht, auch in negativer Hinsicht sind dem Erfindungsgeist von Menschen keine Grenzen gesetzt. Haltet also Eure Sinne zusammen und Eure Security-Software (welche auch immer) aktuell, sichert regelmässig Eure Daten beziehungsweise Eure Installationen (gerne in Bereiche, die nicht direkt mitinfiziert werden können) und öffnet nicht wild jeden Anhang, der Euch per Mail erreicht. Sollte eigentlich alles selbstverständlich und eine Sache des gesunden Menschenverstandes sein, sieht in der Praxis – ich erlebe es nahezu täglich – meistens anders aus. Kein Schädling dieser Art kommt von allein auf Euer System und jeder verkappte Panzerknacker, der Eure Festplatte erreicht, ist die logische Reaktion auf irgendeine vorangegangene Aktion. In diesem Sinne: Spielt bitte kein Spiel mit JigSaw!
@pietz – Danke Dir. Ist auch nicht immer so möglich, aber das gehört schon irgendwie dazu, weil der Artikel ja auch eine persönliche Sichtweise hat und entsprechend zur Diskussion anregen soll und das Thema auch extrem spannend ist, unabhängig vom gewählten Betriebssystem.
Tom: In 20 Minuten ist das Script geschrieben – und getestet – welches den Eingang auf die btc Adresse und das Versenden des Keys automatisiert.
Mich würde mal interessieren, wie weit die Verschlüsselung solcher Ransomware geht – wirklich die gesamte(n) Festplatte(n), oder nur die Systempartition?
Um mehrere TB Dateien mit 256-bit zu verschlüsseln, müsste so eine Ransomware doch entweder ewig im Hintergrund schuften oder den Rechner auch eine ganze Weile unter Vollast laufen lassen – oder sehe ich das falsch?