😺 🙇🏼 🖋️ 拼图加密勒索软件与用户一起扮演电影“锯”的角色（+处理说明） 🍭 👩🏽‍🎤 📟

该恶意软件每小时删除一次文件，并且在尝试重新启动PC时

，越来越多的恶意程序威胁到用户数据的安全。我们没有时间解决加密勒索软件Petya的问题，而是加密用户的硬盘驱动器而不是单个文件，因为出现了另一种勒索软件-加密勒索软件Jigsaw。该软件不仅会加密用户文件，还需要赎金才能解密它们。每60分钟，将删除一个用户文件，并且勒索软件和尝试重新启动PC时也会破坏数据。一段时间后，每小时执行一次不仅会影响一个文件，还会影响更多文件。重新启动时，不会删除一个或两个文件，而是一次删除一千个文件。

所有这些都非常影响用户，并且在大多数情况下，他更喜欢付费。同时，屏幕上会发出一条指令，说明您需要支付多少钱（相当于150美元的比特币），以及在哪里可以获取比特币来支付赎金。已经害怕了吗？总的来说，所有这些都会影响经过技术培训的用户。但是有一种解决方案-例如Petya，有些用户已经学会了如何消除勒索软件。现在，这些用户与他人分享了他们的经验。

怎么办

通过Twitter用户MalwareHunterTeam，DemonSlay335和BleepinComputer的分析，找到了一种使软件无害的方法。已经发布了一种解码器，可以解密受拼图影响的文件。

最初，您需要在任务管理器中终止firefox.exe和drpbx.exe进程。这样可以避免删除文件。然后启动MSConfig并停止firefox.exe进程，该进程位于％UserProfile％\ AppData \ Roaming \ Frfx \ firefox.exe中。接下来，我们使用该程序解密文件。

一切都非常简单：

拼图解密器

如果需要解密磁盘上的所有文件，请选择不是文件夹，而是磁盘的根目录，然后单击“解密我的文件”。

解密完成

然后-然后我们使用新数据库运行防病毒软件，并检查PC。

曲线锯的技术细节

恶意软件进入用户计算机后，它开始搜索具有特定扩展名的文件，并使用AES加密对其进行加密。本机扩展名被替换为.FUN，.KKK或.BTC。

以下文件已加密：

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR, .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby, .1pa, .Qpd, .Txt, .Set, .Iif, .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4,, .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

他们的列表位于％UserProfile％\ AppData \ Roaming \ System32Work \ EncryptedFileList.txt中。比特币地址存储在文件％UserProfile％\ AppData \ Roaming \ System32Work \ Address.txt中。

与此恶意软件关联的文件：

％UserProfile％\ AppData \漫游\ Frfx \
％UserProfile％\ AppData \漫游\ Frfx \ firefox.exe
％UserProfile％\ AppData \本地\ Drpbx \
％UserProfile％\ AppData \本地\ Drpbx \ drpbx.exe
％UserProfile％\ AppData \漫游\ System32Work \
％UserProfile％\ AppData \漫游\ System32Work \ Address.txt
％UserProfile％\ AppData \漫游\ System32Work \ dr
％UserProfile％\ AppData \漫游\ System32Work \ EncryptedFileList.txt

最后，注册表项：

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ firefox.exe％UserProfile％\ AppData \ Roaming \ Frfx \ firefox.exe

如您所见，加密器不是最危险的，但是这个想法当然是很强大的。如果未来版本的加密勒索软件受到更好的保护，与拼图游戏的交易将更加困难。

拼图加密勒索软件与用户一起扮演电影“锯”的角色（+处理说明）

More articles: