Geekly articles weekly

Jigsaw Crypto Ransomware spielt mit dem Benutzer als Charakter des Films „Saw“ (+ Anweisungen zur Entsorgung)

Die Malware löscht Dateien einmal pro Stunde und beim Versuch, den PC neu zu starten



, gibt es immer mehr Schadprogramme, die die Sicherheit der Benutzerdaten gefährden. Wir hatten keine Zeit, das Problem mit der Crypto Ransomware Petya zu lösen, bei der die Festplatte des Benutzers anstelle einzelner Dateien verschlüsselt wurde, als eine andere Ransomware erschien - die Crypto Ransomware Jigsaw. Diese Software verschlüsselt nicht nur Benutzerdateien und benötigt ein Lösegeld, um sie zu entschlüsseln. Alle 60 Minuten wird eine Benutzerdatei gelöscht, außerdem werden die Daten von der Ransomware und beim Versuch, den PC neu zu starten, zerstört. Nach einiger Zeit betrifft die stündliche „Ausführung“ nicht nur eine, sondern mehrere Dateien. Beim Neustart werden nicht eine oder zwei Dateien gelöscht, sondern tausend auf einmal.

All dies wirkt sich sehr stark auf den Benutzer aus und er zahlt in den meisten Fällen lieber. Gleichzeitig wird auf dem Bildschirm eine Anweisung ausgegeben, wie viel Sie bezahlen müssen (das Bitcoin-Äquivalent beträgt 150 US-Dollar) und wo Sie Bitcoins erhalten können, um das Lösegeld zu bezahlen. Schon Angst? Im Allgemeinen kann dies alles einen technisch geschulten Benutzer betreffen ... Aber es gibt eine Lösung - wie im Fall von Petya gab es Benutzer, die gelernt haben, wie man Ransomware neutralisiert. Jetzt teilen diese Benutzer ihre Erfahrungen mit anderen.

Was zu tun ist?

Dank der Analyse der Twitter-Benutzer MalwareHunterTeam , DemonSlay335 und BleepinComputer wurde eine Möglichkeit gefunden, Software unschädlich zu machen. Es wurde ein Decoder veröffentlicht, der von Jigsaw betroffene Dateien entschlüsseln kann.

Zunächst müssen Sie die Prozesse Firefox.exe und drpbx.exe im Task-Manager beenden. Dadurch wird das Löschen von Dateien vermieden. Starten Sie dann MSConfig und stoppen Sie den Prozess Firefox.exe, der sich in% UserProfile% \ AppData \ Roaming \ Frfx \ Firefox.exe befindet. Als nächstes entschlüsseln wir die Dateien mit diesem Programm .

Alles ist ganz einfach:

Puzzle-Entschlüsseler

Wenn Sie alle Dateien auf der Festplatte entschlüsseln müssen, wählen Sie nicht den Ordner, sondern das Stammverzeichnis der Festplatte aus und klicken Sie auf "Meine Dateien entschlüsseln".

Entschlüsselung beendet

Und dann - dann führen wir die Antivirensoftware mit neuen Datenbanken aus und überprüfen den PC.



Technische Details von Jigsaw

Nachdem die Malware auf den Computer des Benutzers gelangt ist, beginnt sie mit der Suche nach Dateien mit einer bestimmten Erweiterung und verschlüsselt diese mit AES-Verschlüsselung. Native Erweiterungen werden durch .FUN, .KKK oder .BTC ersetzt.

Die folgenden Dateien sind verschlüsselt:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR, .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby, .1pa, .Qpd, .Txt, .Set, .Iif, .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4,, .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar


Ihre Liste befindet sich in% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt. Die Bitcoin-Adresse wird in der Datei% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt gespeichert.

Mit dieser Malware

verknüpfte






Dateien: % UserProfile% \ AppData \ Roaming \ Frfx \ % UserProfile% \ AppData \ Roaming \ Frfx \ Firefox.exe % UserProfile% \ AppData \ Local \ Drpbx \ % UserProfile% \ AppData \ Local \ Drpbx \ drpbx.exe % UserProfile% \ AppData \ Roaming \ System32Work \ % UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt % UserProfile% \ AppData \ Roaming \ System32Work \ dr % UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList

Schließlich Registrierungseinträge:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Firefox.exe% UserProfile% \ AppData \ Roaming \ Frfx \ Firefox.exe

Wie Sie sehen, ist der Verschlüsseler nicht der gefährlichste, aber die Idee ist natürlich stark. Wenn zukünftige Versionen der Crypto Ransomware besser geschützt sind, wird der Umgang mit Jigsaw viel schwieriger.

Source: https://habr.com/ru/post/de392975/

More articles:


All Articles