Geekly articles weekly

O ransomware de criptografia Jigsaw brinca com o usuário como o personagem do filme “Serra” (+ instruções para descarte)

O malware exclui arquivos uma vez por hora e, ao tentar reiniciar o PC



, há mais e mais programas maliciosos que ameaçam a segurança dos dados do usuário. Não tivemos tempo para resolver o problema com o crypto ransomware Petya , criptografando o disco rígido do usuário em vez de arquivos individuais, como outro ransomware apareceu - o crypto ransomware Jigsaw. Este software não criptografa apenas os arquivos do usuário e requer um resgate para descriptografá-los. A cada 60 minutos, um arquivo de usuário é excluído, os dados também são destruídos pelo ransomware e ao tentar reiniciar o PC. Depois de algum tempo, a "execução" horária afeta não apenas um, mas mais arquivos. Quando você reinicia, não são excluídos um ou dois arquivos, mas mil ao mesmo tempo.

Tudo isso afeta fortemente o usuário, e ele, na maioria dos casos, prefere pagar. Ao mesmo tempo, é emitida uma instrução na tela sobre quanto você precisa pagar (o equivalente a bitcoin é de US $ 150) e onde você pode obter bitcoins para pagar pelo resgate. Já está com medo? Em geral, tudo isso pode afetar um usuário tecnicamente treinado ... Mas existe uma solução - como no caso do Petya, houve usuários que aprenderam como neutralizar o ransomware. Agora, esses usuários compartilham suas experiências com os outros.

O que fazer

Graças à análise dos usuários do Twitter MalwareHunterTeam , DemonSlay335 e BleepinComputer , foi encontrada uma maneira de tornar o software inofensivo. Foi lançado um decodificador que pode descriptografar arquivos afetados pelo Jigsaw.

Inicialmente, você precisa finalizar os processos firefox.exe e drpbx.exe no gerenciador de tarefas. Isso evitará excluir arquivos. Em seguida, inicie o MSConfig e pare o processo firefox.exe, localizado em% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe. Em seguida, descriptografamos os arquivos usando este programa .

Tudo é bem simples:

Decrypter de quebra-cabeças

se você precisar descriptografar todos os arquivos do disco, selecione não a pasta, mas a raiz do disco e clique em "Descriptografar meus arquivos".

Descriptografia concluída

E então - executamos o software antivírus com novos bancos de dados e verificamos o PC.



Detalhes técnicos do Jigsaw

Depois que o malware entra no computador do usuário, ele começa a procurar arquivos com uma extensão específica e os criptografa com criptografia AES. As extensões nativas são substituídas por .FUN, .KKK ou .BTC.

Os seguintes arquivos são criptografados:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR, .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby, .1pa, .Qpd, .Txt, .Set, .Iif, .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4,, .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar


Sua lista está localizada em% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt. O endereço do bitcoin é armazenado no arquivo% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt.

Arquivos associados a este malware:

% UserProfile% \ AppData \ Roaming \ Frfx \
% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe
% UserProfile% \ AppData \ Local \ Drpbx \
% UserProfile% \ AppData \ Local \ Drpbx \ drpbx.exe
% UserProfile% \ AppData \ Roaming \ System32Work \
% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt
% UserProfile% \ AppData \ Roaming \ System32Work \ dr
% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt

Por fim, entradas do registro:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ firefox.exe% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe

Como você pode ver, o criptografador não é o mais perigoso, mas a idéia, é claro, é forte. Se versões futuras do cripto ransomware estiverem melhor protegidas, será muito mais difícil lidar com o Jigsaw.

Source: https://habr.com/ru/post/pt392975/

More articles:


All Articles