Was ist Jigsaw Ransomware und wie schützt man sich davor?
Im März 2016Puzzlevorgestellten die Billy die Puppe Charakter aus dem Horrorfilm Gesehen auf seiner Lösegeldforderungsseite
Obwohl er weltweit Unternehmen in Angst und Schrecken versetzte, erwies sich dieser Terror als fehlbar, da er in geschrieben wurde. NETZ, und sein Code könnte gelesen werden, um herauszufinden, wie Dateien entschlüsselt werden können, anstatt das Lösegeld zu zahlen.
Trotz seiner Sicherheitslücke muss Jigsaw geschützt werden. Auch wenn Jigsaw derzeit nicht auf dem Vormarsch ist, hat er die Angewohnheit, von den Toten aufzuerstehen, sodass er dennoch zurückkehren und Ihren Netzwerkmanager in Angst und Schrecken versetzen könnte.
Über Jigsaw-Ransomware
Jigsaw-Ransomware war auch bekannt als BitcoinBlackmailer . Es greift nur Computer an, auf denen das Windows-Betriebssystem ausgeführt wird. Wenn Malware zum ersten Mal entdeckt wird, erfindet jedes Forschungslabor für Cybersicherheit einen Namen. Während einige, wenn sie erfahren, dass andere Labore einen Virus benennen, diesen Namen übernehmen, werden andere, die die neue Malware fast gleichzeitig identifizieren, ihr Wort dafür finden. Daher ist manche Malware durch mehrere Zeichen bekannt, und dies ist bei Jigsaw/BicoinBlackmailer der Fall.
Jigsaw war der Hauptprotagonist des Gesehen Horror-Franchise. Diesen Charakter nannte Jim Kramer, ein Serienmörder der Jigsaw-Killer . Im Vorfeld eines Mordes stellte Jigsaw seinen Opfern eine Falle und verspottete sie dann mit Aufgaben, die versprachen, ihr Leben zu retten. Die Anweisungen für diese Aufgaben wurden von einer sogenannten Puppe über Fernsehmonitore übermittelt Billy . Ein Bild dieser Marionette erscheint auf der Lösegeldforderung der Malware, die ihr den Namen gab.
Der Name Jigsaw erschien in den früheren Versionen nicht auf dem Bildschirm. Im Laufe der Monate wurden jedoch neue Varianten veröffentlicht und die Autoren übernahmen den Namen Jigsaw.
Was macht die Jigsaw-Ransomware?
Jigsaw gelangt durch in ein System Spam E-Mail . Varianten der Ransomware sind auch in Adware und auf Downloads von Pornoseiten zu finden. Der Anhang oder Download enthält das Installationsprogramm für Jigsaw und wird aktiviert, sobald die Datei geöffnet wird.
Jigsaw verbirgt seine Existenz, indem es den Namen firefox.exe oder drpbx.exe annimmt. Der Code für den verschlüsselnden Virus befindet sich in %UserProfile%AppDataRoamingFrfxfirefox.exe, und es schreibt einen Startbefehl für sich selbst in die Startprozessliste.
Die Ransomware verschlüsselt alle Datendateien auf dem infizierten Computer sowie dessen Master Boot Record . Es benutzt AES Verschlüsselung. Es stellt außerdem sicher, dass es mit dem Computer startet. Die Verschlüsselung startet sofort nach der Installation des Programms. Glücklicherweise bewegt sich Jigsaw nicht seitlich in einem Netzwerk. Es verschlüsselt nur Dateien auf dem Gerät, auf das es heruntergeladen wurde. Das System verschlüsselt nicht ausführbare Dateien .
Der Lösegeld-Bildschirm erscheint, sobald der Verschlüsselungsvorgang abgeschlossen ist. Das beinhaltet ein Countdown für eine Stunde; wenn das Null erreicht, Eine Datei wird gelöscht . Der Bildschirm besteht aus einer Schaltfläche, die beim Drücken eine Textdatei anzeigt, in der alle verschlüsselten Dateien aufgelistet sind.
Das Lösegeld für den Entschlüsselungsschlüssel beträgt den Bitcoin-Äquivalent von 150 US-Dollar. Um das Opfer zu motivieren, löscht Jigsaw eine Datei nach einer Stunde . Anschließend führt es stündlich einen Löschzyklus durch und löscht mit jeder Aktion eine zunehmende Anzahl von Dateien. Wenn die Zahlung nicht erfolgt 72 Stunden Nachdem die erste Meldung angezeigt wurde, löscht die Ransomware den gesamten Computer.
Ein Neustart des Computers ist keine gute Idee, da die Ransomware erneut gestartet wird 1.000 Dateien löschen als Bestrafung. In der Lösegeldwarnung heißt es außerdem, dass 1.000 Dateien gelöscht werden, wenn der Benutzer versucht, den laufenden Prozess der Malware zu beenden. Dies stellte sich jedoch heraus unwahr , was es sehr einfach macht, das Programm zu besiegen.
Viele Cybersicherheitsanalysten kamen zu dem Schluss, dass Jigsaw das Produkt von war Amateure , vielleicht überdurchschnittliche Teenager, weil es nicht sehr gut geplant war. Die Leichtigkeit, mit der Forscher den Prozess erkennen und stoppen konnten, zeigte, dass die Hacker nicht viel Erfahrung mit der Erstellung von Malware hatten. Dies lässt den Schluss zu, dass das Jigsaw-System eher eine Herausforderung als eine Bedrohung war.
Zahlung des Lösegelds für Jigsaw-Ransomware
Der Lösegeldbildschirm zeigt die Kennung von eine Bitcoin-Wallet . Das Opfer soll die geforderten Bitcoins kaufen und diese dieser Wallet zuordnen.
Auf dem Bildschirm befindet sich außerdem eine Schaltfläche, die das Opfer drücken muss, sobald die Zahlung erfolgt ist. Das System überprüft dann das Konto auf die Einzahlung und wird dies, falls eine solche festgestellt wird, tun das Programm aktualisieren um alle Dateien zu entschlüsseln und dann alle Ransomware-Komponenten zu löschen, wodurch der Computer wieder in seinen ursprünglichen Zustand versetzt wird.
Varianten von Jigsaw
Da waren viele Varianten von Jigsaw , jeweils gekennzeichnet durch eine andere Lösegeldforderung, eine andere Erweiterung für verschlüsselte Dateien und unterschiedliche Eindringmethoden. Auch die Höhe des Lösegelds änderte sich mit jeder Version. Die erste Inkarnation verlangte 150 US-Dollar, aber die Forderungen der nachfolgenden Varianten lagen zwischen 10 und 380 US-Dollar. Das Original-Puzzle fügte das hinzu .Spaß Erweiterung und die Entwickler verwendeten zunächst diesen Namen für die Ransomware.
Neuere Versionen der Jigsaw-Malware waren entweder Anpassungen zur Änderung der Sprache des Anforderungsbildschirms, Verfeinerungen des Codes, Änderungen am Ransomware-Bildschirmlayout oder anders benannte Ransomware, die fast identisch mit der ursprünglichen Jigsaw war.
Einige Varianten verwendet eine Kontakt-E-Mail-Adresse als verschlüsselte Dateierweiterung mit mehreren unterschiedlichen Adressen verwendet. Dies könnte bedeuten, dass viele der Varianten von anderen Personen angepasst wurden, die den Jigsaw-Code erworben hatten.
Wiederherstellung nach Jigsaw-Ransomware
Cybersicherheitsanalysten stellten sehr schnell fest, dass es sich um die Ransomware Jigsaw und alle ihre Varianten handeln könnte leicht besiegt . Obwohl in der Lösegeldforderung angegeben ist, dass 1.000 Dateien gelöscht werden, wenn der Benutzer versucht, den Vorgang zu stoppen, ist das nicht der Fall.
Befolgen Sie diese Schritte, um Jigsaw kostenlos wiederherzustellen:
- Öffne dasTaskmanagerund zwei Prozesse töten. Diese sindFeuerfuchsUndDropbox. Die Variante, die Sie haben, könnte eines oder beide davon verwenden. Wenn Sie nicht beides erkennen, machen Sie sich keine Sorgen. Stellen Sie einfach sicher, dass keiner der beiden läuft.
- Öffne dasStart-upKlicken Sie im Task-Manager auf die Registerkarte und deaktivieren Sie dort die Firefox- und/oder Dropbox-Einträge.
- Laden Sie den CheckPoint Jigsaw Puzzle Solver herunter, indem Sie klicken Hier . Entpacken Sie die JPS.zip-Datei.
- Gehen Sie in das Verzeichnis, in das Sie entpackt haben, und klicken Sie mit der rechten Maustaste daraufJPS.exeDatei – auswählenAls Administrator ausführen.
- Befolgen Sie die Anweisungen im Puzzle-Löser.
Das Check Point-Dienstprogramm trickst das Jigsaw-Programm aus In der Annahme, dass das Lösegeld gezahlt wurde, startet es alle Sanierungsprozesse und entschlüsselt alle Dateien. Es führt außerdem eine Bereinigung durch, indem alle Elemente der Jigsaw-Ransomware vom Computer entfernt werden.
Zwei Eigenschaften von Jigsaw erleichtern die Handhabung. Erstens infiziert es nur ein Computer auf einmal; es repliziert sich nicht im Netzwerk. Zweitens feuert sofort Nachdem es auf einem Computer installiert wurde, müssen Sie sich keine Sorgen machen, dass auf einem Ihrer Computer Kopien schlummern.
Schutz vor Jigsaw-Ransomware
Jigsaw ist schon seit einiger Zeit nicht mehr aufgetaucht. Allerdings waren es die Schöpfer nie verhaftet, Sie sind also immer noch da draußen und könnten jederzeit eine Kampagne neu starten. Obwohl es eine einfache Lösung gibt, die Verschlüsselung umzukehren, verlassen sich diese Hacker darauf, dass einige angegriffene Personen dies tun Panik und zahlen Sie das Lösegeld so schnell wie möglich, ohne nach einer kostenlosen Lösung zu suchen.
Die Hacker hinter Jigsaw waren nie identifiziert . Es wurde nicht einmal herausgefunden, in welchem Land sie tätig sind. Es gibt zahlreiche im Internet veröffentlichte Forschungsergebnisse, die die Schwächen von Jigsaw erklären, und die Hacker haben höchstwahrscheinlich alle Analysen gelesen. Sie könnten jetzt da draußen sein, Härten ihre Ransomware, um die Bekämpfung zu erschweren.
Jigsaw-Ransomware wird vom Computerbenutzer heruntergeladen. Daher besteht ein wesentlicher Schutz vor zukünftigen Angriffen durch diese und jede andere Ransomware Informieren Sie die Benutzergemeinschaft Informationen zum Herunterladen von E-Mail-Anhängen aus unbekannten Quellen. Es ist auch eine gute Idee, Strafen für Benutzer zu verhängen, um zu verhindern, dass sie nicht autorisierte Software auf Firmencomputer herunterladen.
Sie sollten auch intelligent sein Cybersicherheitssoftware auf allen Endpunkten installieren und in Sicherheitsüberwachungssoftware investieren.
Die besten Tools zur Abwehr von Jigsaw-Ransomware
Da Desktop-Computer am anfälligsten für Jigsaw-Ransomware sind, benötigen Sie eine Endpunkterkennung und -reaktion Suite (EDR)-Paket zum Schutz aller Ihrer Endpunkte. Wenn Sie an einen Datenschutzstandard gebunden sind, wie z HIPAA , PCI DSS , oder DSGVO , sollten Sie über Sicherheitssoftware verfügen, um sensible Daten vor Angriffen zu schützen.
EDR-Systeme haben sich aus den ursprünglichen Antivirensystemen entwickelt. Während AVs nach Dateien oder Prozessen suchen, die auf einem Computer in einer Liste bekannter Malware ausgeführt werden, sind EDRs ausgefeilter. Es braucht Zeit, bis Forschungslabore für Cybersicherheit auf neue Malware aufmerksam werden, diese untersuchen und eine Lösung entwickeln. Während dieser Zeit könnten viele Computer mit sogenannten „Virusinfektionen“ infiziert werden. Zero-Day-Angriffe .“ Moderne EDR-Systeme sind nicht auf eine Blacklist angewiesen. Stattdessen suchen sie ungewöhnliches Verhalten .
Ein solides EDR-System tauscht Informationen über Angriffe zwischen Clients aus. Dies entlastet die Forschungslabore durch die Bündelung von Erfahrungen, sodass die Implementierung eines EDR-Spots möglich ist ein neuer Virus Auf einem Client-Standort wissen alle anderen Instanzen dieses EDR, die weltweit tätig sind, davon.
Hier sind zwei Beispiele für die Art von Schutzsoftware, die Sie zum Schutz vor Jigsaw und anderer Ransomware benötigen.
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight ist ein koordiniertes unternehmensweites EDR. Es umfasst Module, die auf allen Endpunkten installiert sind, sowie einen cloudbasierten zentralen Controller. Bei den Endpoint-Agents handelt es sich um Implementierungen eines eigenständigen Antivirensystems der nächsten Generation, das von CrowdStrike vertrieben wird. Das nennt man Falcon Prevent .
Die Endpunktagenten sind vollständig autonom und funktioniert weiter, wenn der Computer vom Netzwerk getrennt ist und keine Verbindung zum Insight-Controller herstellen kann. Normalerweise überwacht dieses Modul den Endpunkt und lädt Ereignisdaten zur Analyse in das Insight-Cloud-System hoch. Das Cloud-System empfängt auch Automatisierte Bedrohungsinformationen von der Insight-Benutzergemeinschaft.
Der Endpunktagent sucht nach abnormale Aktivität und kann sofort Maßnahmen ergreifen, wenn es es erkennt. Anweisungen für Antworten kommen auch vom Insight-System. Der Dienst kann Prozesse beenden, Dateien löschen, das Gerät vom Netzwerk isolieren, Benutzerkonten sperren und die Kommunikation mit verdächtigen IP-Adressen blockieren. Alle diese Aktionen eignen sich für den Umgang mit Jigsaw.
Die Fähigkeiten von Falcon Insight bieten Schutz davor Zero-Day-Angriffe sowie eine Liste bekannter Malware. Durch die koordinierenden Funktionen des Insight-Cloud-Moduls werden alle anderen Endpoint-Agenten in Alarmbereitschaft versetzt, sobald ein Endpoint angegriffen wird.
Sie können eine bekommen15-tägige kostenlose Testversionvon Falcon Prevent.
CrowdStrike Falcon Insight starten Sie die 15-tägige KOSTENLOSE Testversion
zwei. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus ist ein System zum Schutz sensibler Daten. Dieses Paket wurde entwickelt, um Unternehmen zu unterstützen, die einen Datenschutzstandard wie HIPAA, PCI DSS und DSGVO einhalten müssen. Datenschutzsysteme müssen sicherstellen, dass Daten nicht beschädigt oder ungenau sind, und ihre Verfügbarkeit für eine angemessene Verwendung aufrechterhalten. Einige Malware-Angriffe zielen auf den Diebstahl und anschließenden Verkauf oder die Veröffentlichung ab persönlich identifizierbare Informationen (PII).
DataSecurity Plus lokalisiert und kategorisiert sensible Daten und schützt es dann. Das System implementiert eine Dateiintegritätsüberwachung, die bei unbefugten Änderungen an Dateien oder unbefugten Bewegungen warnt. Der Dienst überwacht E-Mails Und USB-Geräte um Downloads zu blockieren und die Weitergabe von Daten zu verhindern.
Der Sicherheitsdienst schützt Windows-Systeme, die das Ziel von Jigsaw und den meisten anderen Ransomware-Programmen sind. Das Paket bietet Administratoren die Möglichkeit, automatisierte Reaktionen auf erkannte Angriffe einzurichten.
Die Software für ManageEngine DataSecurity Plus wird auf installiert Windows Server, und es ist verfügbar für eine 30-tägige kostenlose Testversion .