В сети обнаружен новый образец вымогательского ПО Jigsaw. После попадания на систему вредонос отображает сообщение с требованием заплатить $150 за расшифровку файлов. Если оплата не была сделана вовремя, вымогатель удаляет по 1 файлу в час. Сразу после запуска Jigsaw, в случае перезагрузки компьютера или принудительного завершения работы приложения, вредонос удалит сразу 1000 файлов. В настоящий момент неизвестно, как именно Jigsaw попадает на систему жертвы.
Jigsaw ищет на системе файлы 226 различных типов и шифрует их с помощью алгоритма AES. К зашифрованным файлам добавляется расширение .FUN, .KKK, .GWS, или .BTC, в зависимости от версии вредоноса.
Список зашифрованных файлов хранится на компьютере жертвы по адресу:
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
Список файлов, с которыми связан вымогатель:
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
Запись в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe %UserProfile%\AppData\Roaming\Frfx\firefox.exe
Для удаления вредоноса и расшифровки файлов необходимо выполнить следующие действия:
- Завершить работу процессов firefox.exe и drpbx.exe
- Запретить автозапуск приложения %UserProfile%\AppData\Roaming\Frfx\firefox.exe через MSConfig
3. Скачать утилиту для расшифровки файлов и запустить ее: https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip (Новости/NovostIT)