News
Hardware Software Consumer Electronic Allgemein
Tests
Hardware Software Consumer Electronic Sonstige
Kaufberatung
Ram Rangliste CPU Rangliste SSD Rangliste Mainboard AMD Rangliste Mainboard Intel Rangliste Gehäuse Rangliste Kühler Rangliste Grafikkarten Rangliste
Community
Videos
Internes
Impressum Team Jobangebote Werbung
NEWS

Ransomware Jigsaw löscht stündlich Dateien bis zur Zahlung

Portrait des Authors


Ransomware Jigsaw löscht stündlich Dateien bis zur Zahlung
25

Werbung

Aktuell wütet auch auf deutschen PCs eine neue Ransomware namens Jigsaw. Benannt ist das Programm nach dem Killer aus den Horror-Filmen der Reihe „Saw“. Im Unterschied zu anderen Trojanern, die Daten auf infizierten Rechnern ebenfalls verschlüsseln, geht Jigsaw bis zur Zahlung eines Lösegeldes drastischer vor. So wartet die Ransomware nicht einfach untätig ab, sondern löscht stündlich neue Dateien, um eine Entscheidung zu erzwingen. Wer unter Jigsaw zu leiden hat, hat im Grunde aber noch „Glück im Unglück“. Denn im Gegensatz zu manch anderer Ransomware gibt es für Jigsaw ein kostenloses Entschlüsselungs-Tool. Wer dennoch ausharrt, erlebt, wie Jigsaw stündlich eine Datei vom Rechner schmeißt. Lässt man es auf einen Neustart ankommen, löscht Jigsaw sogar quasi zur Strafe direkt 1.000 einzelne Dateien. Maximal 72 Stunden soll Jigsaw laut Lösegeldforderung wüten, dann müssen bei Ausbleiben einer Zahlung alle Daten dran glauben.

jigsaw ransomware banner

Seltsam ist, dass die verlangte Summe variiert. Während einige Anwender in Bitcoins 150 Euro zahlen sollen, liegt die Summe bei anderen Leidtragenden bei eher moderaten 20 Euro. Warum die Summen so stark variieren, ist derzeit unbekannt. Dem Datentod von der Schippe springen, kann man allerdings dank dreier Sicherheitsforscher mit den Pseudonymen DemonSlay335, MalwareHunterTeam und myself. Sie haben den JigsawDecryptor veröffentlicht. Damit er funktioniert, müssen allerdings die betroffenen Prozesse gestoppt werden. Das sind konkret „drpbx.exe“ und „firefox.exe“, die durch ihre an Dropbox und Firefox erinnernden Namen darüber hinwegtäuschen sollen, dass sie zur Ransomware gehören. Auch der Start-Eintrag für firefox.exe sollte entfernt werden – das geschieht am leichtesten über Msconfig.exe. Weitere Dateien, die es zu löschen gilt, sind unter dem Ordner „%UserProfile%\AppData\Roaming\Frfx\firefox.exe“ zu finden und zu löschen. Wurden diese Schritte bewerkstelligt, kann der JigsawDecryptor die verschlüsselten Daten wieder entschlüsseln. Jigsaw bennent die verschlüsselten Dateien mit neuen Endungen wie .BTC, .FUN und .KKK um.

Jigsaw verbreitet sich offenbar vor allem als infizierter E-Mail-Anhang. Wie immer gilt es also, Vorsicht walten zu lassen beim Öffnen von Dateianhängen. Den JigsawDecryptor können Betroffene direkt hier herunterladen.

Quellen und weitere Links
KOMMENTARE (25) VGWort