Вымогатель Jigsaw шифрует и удаляет файлы

18.04.2016

Опубликована утилита для расшифровки файлов, зашифрованных вымогателем.

В сети обнаружен новый образец вымогательского ПО Jigsaw. После попадания на систему вредонос отображает сообщение с требованием заплатить $150 за расшифровку файлов. Если оплата не была сделана вовремя, вымогатель удаляет по 1 файлу в час. Сразу после запуска Jigsaw, в случае перезагрузки компьютера или принудительного завершения работы приложения, вредонос удалит сразу 1000 файлов. В настоящий момент неизвестно, как именно Jigsaw попадает на систему жертвы.

Jigsaw ищет на системе файлы 226 различных типов и шифрует их с помощью алгоритма AES. К зашифрованным файлам добавляется расширение .FUN, .KKK, .GWS, или .BTC, в зависимости от версии вредоноса.

Список зашифрованных файлов хранится на компьютере жертвы по адресу: %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

Список файлов, с которыми связан вымогатель:
    %UserProfile%\AppData\Roaming\Frfx\
    %UserProfile%\AppData\Roaming\Frfx\firefox.exe
    %UserProfile%\AppData\Local\Drpbx\
    %UserProfile%\AppData\Local\Drpbx\drpbx.exe
    %UserProfile%\AppData\Roaming\System32Work\
    %UserProfile%\AppData\Roaming\System32Work\Address.txt
    %UserProfile%\AppData\Roaming\System32Work\dr
    %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

Запись в реестре:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe    
    %UserProfile%\AppData\Roaming\Frfx\firefox.exe

 Для удаления вредоноса и расшифровки файлов необходимо выполнить следующие действия:
    1. Завершить работу процессов firefox.exe и drpbx.exe
    2. Запретить автозапуск приложения %UserProfile%\AppData\Roaming\Frfx\firefox.exe через MSConfig
    3. Скачать утилиту для расшифровки файлов и запустить ее: https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip

Источник: securitylab.ru