🖐🏾 🧑🏿‍🤝‍🧑🏿 🆗 Jigsaw crypto ransomware bermain dengan pengguna sebagai karakter film "Saw" (+ instruksi untuk dibuang) 👸🏻 🥓 🙊

Malware menghapus file sekali dalam satu jam dan ketika mencoba me-restart PC

, ada semakin banyak program jahat yang mengancam keamanan data pengguna. Kami tidak punya waktu untuk menyelesaikan masalah dengan ransomware crypto ransomware , mengenkripsi hard drive pengguna alih-alih file individual, ketika ransomware lain muncul - crypto ransomware Jigsaw. Perangkat lunak ini tidak hanya mengenkripsi file pengguna dan membutuhkan tebusan untuk mendekripsi mereka. Setiap 60 menit, satu file pengguna dihapus, juga data dihancurkan oleh ransomware dan ketika mencoba me-restart PC. Setelah beberapa waktu, "eksekusi" setiap jam tidak hanya mempengaruhi satu, tetapi lebih banyak file. Ketika Anda reboot, tidak satu atau dua file dihapus, tetapi seribu sekaligus.

Semua ini sangat memengaruhi pengguna, dan dia, dalam banyak kasus, lebih suka membayar. Pada saat yang sama, sebuah instruksi dikeluarkan di layar tentang berapa banyak Anda harus membayar (setara bitcoin adalah $ 150) dan di mana Anda bisa mendapatkan bitcoin untuk membayar tebusan. Sudah takut? Secara umum, semua ini dapat memengaruhi pengguna yang terlatih secara teknis ... Tetapi ada solusi - seperti dalam kasus Petya, ada pengguna yang belajar cara menetralkan ransomware. Sekarang para pengguna ini membagikan pengalaman mereka dengan orang lain.

Apa yang harus dilakukan

Berkat analisis oleh pengguna Twitter MalwareHunterTeam , DemonSlay335 , dan BleepinComputer , cara untuk membuat perangkat lunak tidak berbahaya ditemukan. Decoder telah dirilis yang dapat mendekripsi file yang dipengaruhi oleh Jigsaw.

Awalnya, Anda harus menghentikan proses firefox.exe dan drpbx.exe di task manager. Ini akan menghindari penghapusan file. Kemudian mulai MSConfig dan hentikan proses firefox.exe, yang terletak di% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe. Selanjutnya, kami mendekripsi file menggunakan program ini .

Semuanya cukup sederhana:

Decrypter Jigsaw

Jika Anda perlu mendekripsi semua file pada disk, pilih bukan folder, tetapi root disk, dan klik "Decrypt my files".

Dekripsi selesai

Dan kemudian - kemudian kita menjalankan perangkat lunak antivirus dengan database baru, dan memeriksa PC.

Rincian teknis Jigsaw

Setelah malware memasuki komputer pengguna, ia mulai mencari file dengan ekstensi tertentu, dan mengenkripsi mereka dengan enkripsi AES. Ekstensi asli diganti dengan .FUN, .KKK, atau .BTC.

File-file berikut dienkripsi:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR, .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby, .1pa, .Qpd, .Txt, .Set, .Iif, .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4,, .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Daftar mereka terletak di% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt. Alamat bitcoin disimpan dalam file% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt.

File yang terkait dengan malware ini:

% UserProfile% \ AppData \ Roaming \ Frfx \
% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe
% UserProfile% \ AppData \ Lokal \ Drpbx \
% UserProfile% \ AppData \ Local \ Drpbx \ drpbx.exe
% UserProfile% \ AppData \ Roaming \ System32Work \
% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt
% UserProfile% \ AppData \ Roaming \ System32Work \ dr
% UserProfile% \ AppData \ Roaming \ System32Work \ DienkripsiFile.

Akhirnya, entri registri:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ firefox.exe% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe

Seperti yang Anda lihat, enkripsi bukan yang paling berbahaya, tetapi idenya tentu saja kuat. Jika versi masa depan crypto ransomware lebih terlindungi, berurusan dengan Jigsaw akan jauh lebih sulit.

Jigsaw crypto ransomware bermain dengan pengguna sebagai karakter film "Saw" (+ instruksi untuk dibuang)

More articles: