Der neuentdeckte Cryptolocker "Jigsaw", benannt nach einer Horrorfilm-Figur, verschlüsselt die Dateien seiner Opfer und schaltet ihnen dann - ganz im Sinne der "Saw"-Filmreihe - einen Countdown, in dessen Verlauf drei Tage lang nach und nach jede Stunde einige der verschlüsselten Dateien endgültig gelöscht werden. Ist nach 72 Stunden kein Geld gezahlt, sind somit alle Daten futsch. "Versuche es erst gar nicht - wir haben einiges eingebaut, um alle deine Dateien zu löschen", machen sich die Jigsaw-Entwickler in einem Warnfenster, das mit einer Jigsaw-Maske verziert ist, über den Nutzer lustig. Und das ist keine leere Warnung: Wie Support-Mitarbeiter von BleepingComputer.com bestätigen, löscht Jigsaw bei jedem Neustart des Computers oder Neustart des Jigsaw-Prozesses 1000 Dateien. "Es ist das erste Mal, dass wir ein derartiges Vorgehen bei einer Ransomware sehen", schreibt Lawrence Abrams von BleepingComputer.com in einem Blogeintrag.
Foto: bleepingcomputer.com
Demnach verschlüssele Jigsaw sehr viele gängige (Windows-)Dateiformate und ergänze den Dateinamen der verschlüsselten Dateien zynisch um ein ".fun". Die betroffenen Dateiformate sind:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar
Gegenmaßnahmen
Es gibt aber auch eine gute Nachricht: Die Malware-Experten haben bereits ein Gegenmittel gefunden, mit dem sich alle durch Jigsaw verschlüsselten Dateien wiederherstellen lassen, ohne das Lösegeld zu zahlen. Zunächst sollte ein Betroffener den Task-Manager öffnen und alle Prozesse namens firefox.exe oder drpbx.de beenden, die von der Ransomware erstellt wurden. Danach ist das MSConfig-Tool auszuführen und der Autostart-Eintrag %UserProfile%\AppData\Roaming\Frfx\firefox.exe zu deaktivieren. Damit wird der Löschprozess beendet und die Malware führt sich bei einem Reboot nicht von allein erneut aus. Danach sollte man das "Jigsaw Decrypter Utility" bei BleepingComputer.com herunterladen und damit alle seine verschlüsselten Dateien wieder entschlüsseln. Ist das geschafft, sollte man sich schleunigst ein aktuelles Antivirus-Programm besorgen und einen Komplett-Scan des Systems vornehmen, um Jigsaw komplett zu entfernen.
Dass diese Methode mit möglichen neuen Varianten des Jigsaw-Cryptolockers, die noch kommen könnten, ebenfalls funktioniert, ist keineswegs sicher. Ransomware-Entwickler sind in der Regel sehr schnell, auf Security-Maßnahmen gegen ihre Ideen zu reagieren.