Jigsaw verschlüsselt nicht nur Daten, sondern löscht stündlich

13. April, 2016

Ransomware „Jigsaw“, benannt nach der Filmfigur, die in der Erpresserbotschaft gezeigt wird, scheint tatsächlich vor allem eines zu wollen: ein Spiel spielen. Wie bei Ransomware mittlerweile üblich, wird mit den Daten der User gespielt, Einsatz sind 0,4 Bitcoins oder 150 $. Bei den Spielregeln setzt „Jigsaw“ allerdings neue Standards.

Die gute Nachricht vorweg: Es gibt bereits einen Weg, die Daten, die von „Jigsaw“ verschlüsselt wurden, kostenlos wieder herzustellen. Zahlen ist daher nicht notwendig – schnell reagieren hingegen schon. Denn „Jigsaw“ verschlüsselt die Daten nicht nur, sondern droht auch damit, diese unwiederbringlich zu löschen, wenn das geforderte Lösegeld nicht schnell (genug) bezahlt wird: Alle 60 Minuten wird gelöscht – erst nur ein File, später in immer größeren Mengen, und nach Ablauf von 72 Stunden schließlich alles. Ein Neustart des Rechners (oder Programms) kostet übrigens 1.000 Files, da versteht „Jigsaw“ keinen Spaß.

jigsaw-verschluesselt-nicht-nur-daten-sondern-loescht-stuendlich

Spielende: Daten entschlüsseln und Malware entfernen

Bleepingcomputer.com hat gemeinsam mit Analysten von MalwareHunterTeam und DemonSlay335 den JigSaw Decryptor (Download-Link) entwickelt. Noch vor dem Download sollten aber die Prozesse firefox.exe und drpbx.exe beendet werden, um das Löschen von Daten zu verhindern bzw. zu stoppen. Denn diese können tatsächlich nicht mehr wiederhergestellt werden. Dann sollte mit MSConfig der Eintrag firefox.exe im Systemstart deaktiviert werden, der auf das %UserProfile%\AppData\Roaming\Frfx\firefox.exe Executable zeigt, um einen Neustart des Programms zu unterbinden.

Details zur Verbreitung der Ransomware sind derzeit nicht bekannt, ein beliebter und kostengünstiger Infektionsweg ist und bleibt Spam. Die Trojaner lauern dabei längst nicht mehr nur in verdächtigen Anhängen, auch Office-Dateien oder PDFs sind anfällig. Die neuesten Generationen der Ransomware verwenden direkt in die E-Mail eingebettete JavaScripts, die auch für Antiviren-Programme viel schwieriger zu erkennen sind und meist nur als Dropper fungieren, um die eigentliche Malware nachzuladen. Wir raten daher zu besonderer Achtsamkeit.

Sicherheitsempfehlungen:

  • Installieren und aktualisieren Sie Antiviren-Software, Spam-Filter, Firewall und IPS so oft wie möglich.
  • Blockieren Sie JavaScript-Inhalte von nicht vertraulichen Quellen.
  • Hindern Sie, wenn möglich, JavaScript am automatischen Ausführen.
  • Löschen Sie E-Mails mit Links und Anhängen nicht bekannter Absender bzw. nicht erwartete Nachrichten im Zweifelsfall
  • Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand.
  • Hindern Sie die Verzeichnisse AppData und Startup am Ausführen von unbekannten Executables.
  • Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros.
  • Informieren Sie sich (und Ihre MitarbeiterInnen, Familienmitglieder…) über die aktuellen Gefahren.
  • Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf.

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download