jigsaw-2de93971aed84435.png@jpg

Jigsaw verschlüsselt nicht nur Dateien unter Windows, sondern löscht diese auch, wenn Opfer das Lösegeld nicht zahlen.

Die Kryptologen haben Jigsaw eigenen Angaben zufolge in Aktion erlebt und der Schädling soll nach der Infektion und Verschlüsselung jede Stunde eine Datei löschen. Noch schlimmer ist es, wenn ein Opfer den infizierten Computer neu startet: dann sollen 1.000 Dateien dran glauben müssen.

Das Zerstörungswerk dauert der Erpresser-Botschaft zufolge maximal 72 Stunden. Hat das Opfer bis dahin nicht die 0,4 Bitcoin (rund 150 Euro) an die Erpresser gezahlt, soll Jigsaw alle Dateien ins digitale Nirwana schicken.

Dank den Sicherheitsforschern mit den Pseudonymen DemonSly335, MalwareHunterTeam und myself können Opfer dem Trojaner aber ein Schnippchen schlagen. Damit das kostenlose Entschlüsselungs-Tool JigSawDecryptor funktioniert, müssen Betroffene zwei Prozesse stoppen.

Jigsaw versteckt sich Bleepingcomputer zufolge in den Prozessen drpbx.exe und firefox.exe. Beendet man diese, ist die Verschlüsselung vorerst gestoppt. Nun muss noch der Start-Eintrag für firefox.exe in der Registry von Windows unter %UserProfile%\AppData\Roaming\Frfx\firefox.exe eliminiert werden, erläutert Bleepingcomputer.

Anschließend soll der JigSawDecryptor Daten auf Knopfdruck entschlüsseln können. Mit Jigsaw verschlüsselte Dateien weisen die Namenserweiterungen .BTC, .FUN und .KKK auf.

Schutz gegen Erpressungs-Trojaner? Fragen Sie uns.