Ein ganz besonders perfider Vertreter der Spezies Erpressungstrojaner ist unterwegs: die Ransomware Jigsaw. Wie bei einem Puzzle arbeitet das Teil Stück für Stück und löscht jede Stunde Dateien, bis seine Forderung beglichen ist. Davor warnen die Sicherheitsforscher von Bleepingcomputer.

Der Schädling soll nach der Infektion und Verschlüsselung jede Stunde eine Datei löschen. Noch schlimmer ist es, wenn ein Opfer einen Neustart das infizierten Computers versucht: dann sollen 1.000 Dateien auf einmal ins Nirwana verschoben werden.

Nach der Erpresser-Botschaft dauert die scheibchenweise Löschung maximal 72 Stunden. Wenn das Opfer bis dahin nicht die 0,4 Bitcoins (ca. 150 Euro) an die Erpresser gezahlt hat, soll Jigsaw alle noch vorhandenen Dateien löschen.

Auf dem Screenshot ist in Englisch zu lesen: „Deine Compoter-Dateien wurden verschlüsselt. Deine Fotos, Videos, Dokumente u.s.w…. Aber keine Sorge – noch habe ich sie nicht gelöscht!“

Die Rettung vor Jigsaw

Dank den Sicherheitsforschern DemonSly335, MalwareHunterTeam und myself können Opfer dem Trojaner aber eine lange Nase machen. Damit das kostenlose Tool zur Entschlüsselung JigSawDecryptor funktioniert, müssen die Betroffenen zwei Prozesse stoppen.

Jigsaw versteckt sich laut Bleepingcomputer in den Prozessen drpbx.exe und firefox.exe. Wenn man diese beendet, ist die Verschlüsselung zunächst einmal gestoppt. Jetzt muss nur noch der Starteintrag für firefox.exe in der Registry von Windows unter %UserProfile%\AppData\Roaming\Frfx\firefox.exe entfernt werden.

Danach soll der JigSawDecryptor die verschlüsselten Daten auf Knopfdruck wieder entschlüsseln können. Mit Jigsaw verschlüsselte Dateien haben die Erweiterungen .BTC, .FUN und .KKK.