Neuer Cryptolocker

Perfide Jigsaw-Erpresser arbeiten mit Countdown

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Bitcoins zu kaufen und Ransomware-Erpresser zu bezahlen, ist für sich genommen schon hart genug. Aber nun erwarten einige Cyberkriminelle sogar, dass sie ihre umgerechnet 150 Dollar in unter einer Stunde bekommen, wenn der Erpresste alle seine Daten zurückhaben möchte.

Der neuentdeckte Cryptolocker "Jigsaw", benannt nach einer Horrorfilm-Figur, verschlüsselt die Dateien seiner Opfer und schaltet ihnen dann - ganz im Sinne der "Saw"-Filmreihe - einen Countdown, in dessen Verlauf drei Tage lang nach und nach jede Stunde einige der verschlüsselten Dateien endgültig gelöscht werden. Ist nach 72 Stunden kein Geld gezahlt, sind somit alle Daten futsch. "Versuche es erst gar nicht - wir haben einiges eingebaut, um alle deine Dateien zu löschen", machen sich die Jigsaw-Entwickler in einem Warnfenster, das mit einer Jigsaw-Maske verziert ist, über den Nutzer lustig. Und das ist keine leere Warnung: Wie Support-Mitarbeiter von BleepingComputer.com bestätigen, löscht Jigsaw bei jedem Neustart des Computers oder Neustart des Jigsaw-Prozesses 1000 Dateien. "Es ist das erste Mal, dass wir ein derartiges Vorgehen bei einer Ransomware sehen", schreibt Lawrence Abrams von BleepingComputer.com in einem Blogeintrag.

Perfide Masche: Die Erpresser fordern 150 Dollar in Bitcoins binnen einer Stunde, damit der Nutzer alle seine Daten unbeschadet zurückerhält.
Perfide Masche: Die Erpresser fordern 150 Dollar in Bitcoins binnen einer Stunde, damit der Nutzer alle seine Daten unbeschadet zurückerhält.
Foto: bleepingcomputer.com

Demnach verschlüssele Jigsaw sehr viele gängige (Windows-)Dateiformate und ergänze den Dateinamen der verschlüsselten Dateien zynisch um ein ".fun". Die betroffenen Dateiformate sind:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Gegenmaßnahmen

Es gibt aber auch eine gute Nachricht: Die Malware-Experten haben bereits ein Gegenmittel gefunden, mit dem sich alle durch Jigsaw verschlüsselten Dateien wiederherstellen lassen, ohne das Lösegeld zu zahlen. Zunächst sollte ein Betroffener den Task-Manager öffnen und alle Prozesse namens firefox.exe oder drpbx.de beenden, die von der Ransomware erstellt wurden. Danach ist das MSConfig-Tool auszuführen und der Autostart-Eintrag %UserProfile%\AppData\Roaming\Frfx\firefox.exe zu deaktivieren. Damit wird der Löschprozess beendet und die Malware führt sich bei einem Reboot nicht von allein erneut aus. Danach sollte man das "Jigsaw Decrypter Utility" bei BleepingComputer.com herunterladen und damit alle seine verschlüsselten Dateien wieder entschlüsseln. Ist das geschafft, sollte man sich schleunigst ein aktuelles Antivirus-Programm besorgen und einen Komplett-Scan des Systems vornehmen, um Jigsaw komplett zu entfernen.

Dass diese Methode mit möglichen neuen Varianten des Jigsaw-Cryptolockers, die noch kommen könnten, ebenfalls funktioniert, ist keineswegs sicher. Ransomware-Entwickler sind in der Regel sehr schnell, auf Security-Maßnahmen gegen ihre Ideen zu reagieren.