Ransomware Jigsaw löscht stündlich verschlüsselte Daten

wp_jigsawMit der Maske aus gleichnamigen Film “Saw” tritt wieder eine neuartige Ransomware in Erscheinung, die diesmal deutlich aggressiver vorgeht, als andere bekannte Ransomware-Varianten. So verschlüsselt die Ransomware mit Namen “Jigsaw” nicht nur etliche Dateiformate wie Dokumente , Video und Photos auf dem System, sondern setzt zudem ein zeitliches Ultimatum von 24 Stunden für die Bezahlung eines Lösegeldes.

Darüber hinaus drohen die Kriminellen mit Löschung der Daten, wenn das Lösegeld von 150 USD in Form von Bitcoins, nicht bis zum Ablauf der 24 Stunden bezahlt wird. Nach Ablauf von 72 Stunden sollen dann sogar alle Daten unwiederbringlich gelöscht werden!

jigsaw-ransomware

Bild: bleepingcomputer.com – Jigsaw Ransomware

Über die Verbreitungswege sind sich die Experten noch sehr unschlüssig, dennoch ist “Jigsaw“, die erste Ransomware, die so aggressiv vorgeht und Ihrer Drohung ernst macht! Nach Infektion und Verschlüsselung des Systems, werden tausend Dateien nach Ablauf der 24 Stunden-Frist, in Schritten von 60 Minuten rigoros gelöscht. Je mehr Zeit verstreicht, wird alle 60 Minuten der Timer neu gestartet und  stetig mehr Dateien vom Rechner entfernt. Nach Ablauf von 72 Stunden sollen sogar alle Daten auf dem System gelöscht werden.

Eine offensichtlich destruktive Vorgehensweise der Kriminellen, um die Opfer zusätzlich unter Druck zu setzen!


Youtube-Video:
 Demonstration einer Attacke – “Jigsaw Ransomware adds encrypted files .fun extension!”


Jigsaw verschlüsselt über 256 Datei-Formate im 
Algorithmus AES und hängt als Erweiterung .fun an!

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR  , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby  , .1pa, .Qpd, .Txt, .Set, .Iif  , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Kriminellen hinterlassen Erpresserbrief (orig.)  

Your computer files have been encrypted. Your photos, videos, documents, etc….

But, don’t worry! I have not deleted them, yet. You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time. After 72 hours all that are left will be deleted. If you do not have bitcoins Google the website localbitcoins. Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one. Send to the Bitcoins address specified. Within two minutes of receiving your payment your computer will receive the decryption key and return to normal. Try anything funny and the computer has several safety measures to delete your files. As soon as the payment is received the crypted files will be returned to normal.

Thank you

Gute Nachrichten für infizierte Systeme und deren Opfer

Dank der Experten von BleepingcomputerMalwareHunterTeam, DemonSlay335 u.a gibt es bereits ein Verfahren, die Daten ohne Bezahlung des Lösegeldes, mit Hilfe des JigSawDecrypter wiederherzustellen.

JigSawDecrypter Download>>

Todo-Anleitung zum entschlüsseln der Daten auf dem infizierten System:

  1. Schliessen Sie die Prozesse Firefox.exe and drpbx.exe im Task Manager
  2. Drücken Sie Win + r und geben Sie im Ausführendialog msconfig.exe ein und bestätigen mit OKentfernen Sie dort aus dem Autostart den Eintrag Firefox.exe, der auf den Pfad %UserProfile%\AppData\Roaming\Frfx\firefox.exe zeigt.
  3. Download und Entpacken des “JigSawDecrypter
  4. Doppelklick auf Datei JigSawDecrypter.exe
Bildschirmfoto 2016-04-12 um 12.21.47

Bild: bleepingcomputer.com

 

 

 

 

 

 

 

5. Nachdem der JigSawDecrypter gestartet ist, klicken sie auf “Decrypt My Files” und die verschlüsselten Daten werden wiederhergestellt.

Bildschirmfoto 2016-04-12 um 12.26.27

Bild: bleepingcomputer.com

 

 

 

 

 

 

 

6. Wurden alle Daten wiederhergestellt und das Programm ist fertig, erscheint im JigSawDecrypter – Files Decrypted!
7. Anschliessend muss der Rechner mit einer Antivirensoftware überprüft werden.

Maßnahmen die getroffen werden können, bevor „JigSaw“ oder auch andere Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bilder: bleepingcomputer.com 

3 thoughts on “Ransomware Jigsaw löscht stündlich verschlüsselte Daten”

Kommentare sind geschlossen.