Nur 72 Stunden: Erpressungs-Trojaner Jigsaw droht, Dateien zu löschen

Um seine Opfer unter Druck zu setzen das Lösegeld zu zahlen, soll der Verschlüsselungs-Trojaner Jigsaw stündlich Dateien löschen, bis die Forderung beglichen ist. Glücklicherweise gibt es bereits ein kostenloses Entschlüsselungs-Tool.

In Pocket speichern vorlesen Druckansicht 157 Kommentare lesen
Nur 72 Stunden: Erpressungs-Trojaner Jigsaw droht, Dateien zu löschen

(Bild: Screenshot)

Lesezeit: 2 Min.

Erpressungs-Trojaner agieren dieser Tage immer perfider: Jigsaw verschlüsselt nicht nur Dateien unter Windows, sondern löscht diese auch, wenn Opfer das Lösegeld nicht zahlen. Davor warnen die Sicherheitsforscher von Bleepingcomputer.

Die Kryptologen haben Jigsaw eigenen Angaben zufolge in Aktion erlebt und der Schädling soll nach der Infektion und Verschlüsselung jede Stunde eine Datei löschen. Noch schlimmer ist es, wenn ein Opfer den infizierten Computer neu startet: dann sollen 1.000 Dateien dran glauben müssen.

Das Zerstörungswerk dauert der Erpresser-Botschaft zufolge maximal 72 Stunden. Hat das Opfer bis dahin nicht die 0,4 Bitcoin (rund 150 Euro) an die Erpresser gezahlt, soll Jigsaw alle Dateien ins digitale Nirwana schicken.

Dank den Sicherheitsforschern mit den Pseudonymen DemonSlay335, MalwareHunterTeam und myself können Opfer dem Trojaner aber ein Schnippchen schlagen. Damit das kostenlose Entschlüsselungs-Tool JigSawDecryptor (Download) funktioniert, müssen Betroffene zwei Prozesse stoppen.

Jigsaw versteckt sich Bleepingcomputer zufolge in den Prozessen drpbx.exe und firefox.exe. Beendet man diese, ist die Verschlüsselung vorerst gestoppt. Nun muss noch der Start-Eintrag für gefälschte firefox.exe über Msconfig.exe eliminiert werden. Die Datei befindet sich im Ordner %UserProfile%\AppData\Roaming\Frfx\firefox.exe, erläutert Bleepingcomputer.

Anschließend soll der JigSawDecryptor Daten auf Knopfdruck entschlüsseln können. Mit Jigsaw verschlüsselte Dateien weisen die Namenserweiterungen .BTC, .FUN und .KKK auf.

Lesen Sie dazu bei c't:

(des)