Neue Crypto-Ransomware JIGSAW spielt fiese Spiele

Originalbeitrag von Jasen Sumalapao

Mit der kürzlich entdeckten Crypto-Ransomware Jigsaw geht die Entwicklung im Verhalten der Erpressungssoftware einen Schritt weiter. Diese Schadsoftware spielt mit dem Nutzer, indem sie dessen Dateien inkrementell blockiert und löscht. Damit schürt sie die Angst und setzt ihre Opfer unter Druck zu zahlen. In Anlehnung an den Film „Saw“ bringt sie sogar ein Bild der Billy-Puppe auf den Bildschirm.

Mittlerweile ist es Teil des Ransomware-Spiels, „einzigartige“ Funktionalität hinzuzufügen oder „kreative“ Wege zu finden, die Angst der Opfer zu steigern, damit diese das gewünschte Lösegeld zahlen. Technisch gesehen gibt es nicht viele Unterschiede zwischen den einzelnen Varianten. Jigsaw gehört zur berüchtigten Familie von Petya und Cerber.

Infektion und Verteilung

Jigsaw kommt als Datei, die aus einem kostenlosen Cloud-Speicherdienst namens 1fichier[.]com heruntergeladen wird. Dieser Service hostete schon früher andere Schadsoftware wie den Information Stealer FAREIT und auch COINSTEALER, die Bitcoins sammeln. Der Dienst ist bereits informiert, und sie haben die bösartigen URLs auch schon entfernt.

Sobald die Crypto-Ransomware ausgeführt wird, begrüßt sie den Nutzer mit einem Bild von Billy und einer Lösegeldforderung.

Bild 1. JIGSAW bringt eine Lösegeldforderung und Billy auf den Bildschirm des Opfers

Die Nachricht gibt es auf Englisch und Portugiesisch, und sie führt das Konzept der exponenziellen Steigerung ein, die sich auf die Dateien des Nutzers und die Höhe des Lösegelds bezieht. Frühere Crypto-Ransomware Familien steigerten die Höhe des Lösegelds mit der Zeit, doch nicht mit derselben inkrementellen Wucht wie Jigsaw. Schlimmer noch, mit jeder vergangenen Stunde werden mehr Dateien gelöscht und der zu zahlende Betrag wird höher. Der Mindestbetrag liegt zwischen 20 $ – 150 $.

Bild 2. Aktivierter Timer, um den Druck auf den Nutzer zu erhöhen

Jigsaw ist die erste Crypto-Ransomware mit einer Routine, die Kopien von allen Dateien eines Nutzers erstellt, diese in .fun-Dateien verschlüsselt und das Original löscht. Einige Varianten änderten die Extensions in .KKK, .BTC und .GWS. Die folgenden Dateitypen werden verschlüsselt:

Bild 3. Von Jigsaw verschlüsselte Datei-Extensions

Bild 4. Jigsaw ändert die Extensions .BTC

Bild 5. Rot unterlegte Dateien werden gelöscht, während grün unterlegte die verschlüsselten Kopien sind

Die Nachricht warnt auch davor, dass 1000 Dateien ohne Kopie gelöscht werden, sollte das Opfer versuchen, den Computer neu zu booten. Versucht der Nutzer einen Neustart, so erscheint eine weitere Drohung. In 72 Stunden werden alle Dateien gelöscht, sollte keine Zahlung getätigt werden.

So Furcht einflößend Jigsaw erscheint, so einfach ist seine Struktur. Die Schadsoftware hat keine neuen Fähigkeiten oder Routinen.

Die Analyse zeigte auch, dass neben Adware pornografische Sites einen weiteren Infektionsweg darstellen. Diese Version zeigt tatsächlich Pornoseiten mit einer Nachricht, die das Opfer als „pornosüchtig“ bezeichnet und deshalb Schweigegeld fordert.

Lösungen

Regelmäßiges Backup nach der 3-2-1-Regel ist die wichtigste Empfehlung als Gegenmittel gegen Crypto-Ransomware, um stets aktuelle Dateien zu haben. Zahlung des Lösegelds ist keine Garantie für die Entschlüsselung der Dateien.

Trend Micros Endpoint-Lösungen Trend Micro™ Security, Trend Micro™ Smart Protection Suites und Trend Micro Worry-Free™ Business Security können Anwender gegen diese Bedrohung schützen, indem sie die bösartigen Dateien erkennen, bevor diese den Endanwender erreichen. Auch können die Lösungen alle damit zusammenhängenden bösartigen URLs blockieren. Systeme mit Trend Micro™ Smart Protection Suites sind auch via Trend Micro Endpoint Application Control geschützt.

SHA1s für die damit verbundenen Dateien:

  • 0C269C5A641FD479269C2F353841A5BF9910888B – Ransom_JIGSAW.A
  • DC307A673AA5EECB5C1400F1D342E03697564F98 – Ransom_JIGSAW.A
  • CE42E2C694CA4737AE68D3C9E333554C55AFEE27 – Ransom_JIGSAW.A
  • 1AD9F8695C10ADB69BDEBD6BDC39B119707D500E – Ransom_JIGSAW.B
  • CA40233610D40258539DA0212A06AF29B07C13F6 – Ransom_JIGSAW.C
  • F8431CF0A73E4EDE5B4B38185D73D8472CFE2AE7 – Ransom_JIGSAW.C
  • DCE911B1C05DA965C8733935723B88BC29D12756 – Ransom_JIGSAW.D
  • 3F6E3E5126C837F46A18EE988DBF5756C2B856AA – Ransom_JIGSAW.E
  • 92620194A581A91874A5284A775014E0D71A9DB1 – Ransom_JIGSAW.E

 

Weiterführende Artikel:

  1. Petya Crypto-Ransomware überschreibt MBR und sperrt Nutzer aus
  2. Schwindel oder Gefahr? Crypto-Ransomware droht Daten im Netz zu veröffentlichen
  3. CERBER: Sprechende Crypto-Ransomware aus dem russischen Untergrund
  4. Neue Crypto-Ransomware Locky nutzt verseuchte Word-Makros
  5. Chimera Crypto-Ransomware sucht Geschäftspartner