"Здравей, искам да изиграем една игра" - новият рансъмуер вирус Jigsaw

Появи се нов рансъмуер вирус с име Jigsaw, който носи името на големия злодей от едноименния комикс. За разлика от другите програми-изнудвачи Jigsaw не само шифрова потребителските файлове, но и започва да ги изтрива, ако потребителят не заплати навреме откупа в биткойни. Това е първият случай, когато вредоносна програма не само заплашва, но и изпълнява заплахите си, като по този начин ефективно мотивира жертвата да заплати откупа. 

На екрана се появява маската на Jigsaw заедно със следното съобщение: "Файловете в твоя компютър са криптирани. Но не се безпокой, не съм ги изтрил... засега. Имаш 24 часа за да платиш $150 в биткойни и след това ще получиш ключа. На всеки час ще изтривам файлове и колкото повече време измине, толкова повече файлове ще изтривам наведнъж. След 72 часа всички файлове ще бъдат изтрити. Не прави глупости, взел съм мерки". Всъщност мерките са, че след рестартиране се изтриват 1000 файла наведнъж.

Jigsaw първоначално сканира системата за файлове с подходящи формати и след това ги криптира с AES шифроване, а файловете получават разширение FUN, .KKK или .BTC. Списъкът с криптираните файлове и адреса на биткойн-портфейла се съхраняват в текстов файл.

 

Има и добра новина: хакерите от MalwareHunterTeam анализираха вируса и намериха начин за разшифроване на файловете, без да се плаща. Първо трябва да се спрат процесите firefox.exe и drpbx.exe, за да се прекъсне изтриването на файловете. Чрез MSConfig трябва да се спре автоматичното стартиране на firefox.exe. Сега вече може да се стартира програмата за разшифроване, която може да се изтегли от сайта на Bleeping Computer.