Geekly articles weekly

Jigsaw crypto ransomware juega con el usuario como el personaje de la película "Saw" (+ instrucciones para su eliminación)

El malware elimina archivos una vez por hora y cuando intenta reiniciar la PC



, hay cada vez más programas maliciosos que amenazan la seguridad de los datos del usuario. No tuvimos tiempo de resolver el problema con el cripto ransomware Petya , encriptando el disco duro del usuario en lugar de los archivos individuales, ya que apareció otro ransomware: el cripto ransomware Jigsaw. Este software no solo encripta archivos de usuario y requiere un rescate para descifrarlos. Cada 60 minutos, se elimina un archivo de usuario, también los datos son destruidos por el ransomware y al intentar reiniciar la PC. Después de un tiempo, la "ejecución" por hora afecta no solo a uno, sino a más archivos. Cuando reinicia, no se eliminan uno o dos archivos, sino mil a la vez.

Todo esto afecta fuertemente al usuario, y él, en la mayoría de los casos, prefiere pagar. Al mismo tiempo, se emite una instrucción en la pantalla sobre cuánto debe pagar (el equivalente de bitcoin es $ 150) y dónde puede obtener bitcoins para pagar el rescate. Ya asustado? En general, todo esto puede afectar a un usuario técnicamente capacitado ... Pero hay una solución, como en el caso de Petya, hubo usuarios que aprendieron a neutralizar el ransomware. Ahora estos usuarios comparten sus experiencias con otros.

Que hacer

Gracias al análisis realizado por los usuarios de Twitter MalwareHunterTeam , DemonSlay335 y BleepinComputer , se encontró una forma de hacer que el software sea inofensivo. Se ha lanzado un decodificador que puede descifrar archivos afectados por Jigsaw.

Inicialmente, debe finalizar los procesos firefox.exe y drpbx.exe en el administrador de tareas. Esto evitará eliminar archivos. Luego, inicie MSConfig y detenga el proceso firefox.exe, que se encuentra en% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe. A continuación, desciframos los archivos con este programa .

Todo es bastante simple:

Descifrador de rompecabezas

si necesita descifrar todos los archivos del disco, seleccione no la carpeta, sino la raíz del disco, y haga clic en "Descifrar mis archivos".

Descifrado terminado

Y luego, luego ejecutamos el software antivirus con nuevas bases de datos y verificamos la PC.



Detalles técnicos de Jigsaw

Después de que el malware ingresa a la computadora del usuario, comienza a buscar archivos con una extensión específica y los cifra con cifrado AES. Las extensiones nativas se reemplazan con .FUN, .KKK o .BTC.

Los siguientes archivos están encriptados:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR, .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby, .1pa, .Qpd, .Txt, .Set, .Iif, .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4,, .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar


Su lista se encuentra en% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt. La dirección de bitcoin se almacena en el archivo% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt.

Archivos asociados con este malware:

% UserProfile% \ AppData \ Roaming \ Frfx \
% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe
% UserProfile% \ AppData \ Local \ Drpbx \
% UserProfile% \ AppData \ Local \ Drpbx \ drpbx.exe
% UserProfile% \ AppData \ Roaming \ System32Work \
% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt
% UserProfile% \ AppData \ Roaming \ System32Work \ dr
% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt

Finalmente, entradas de registro:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ firefox.exe% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe

Como puede ver, el cifrador no es el más peligroso, pero la idea, por supuesto, es fuerte. Si las futuras versiones del crypto ransomware están mejor protegidas, tratar con Jigsaw será mucho más difícil.

Source: https://habr.com/ru/post/es392975/

More articles:


All Articles