Вымогатель Jigsaw шифрует и удаляет файлы
Опубликована утилита для расшифровки файлов, зашифрованных вымогателем.
В сети обнаружен новый образец вымогательского ПО Jigsaw. После попадания на систему вредонос отображает сообщение с требованием заплатить $150 за расшифровку файлов. Если оплата не была сделана вовремя, вымогатель удаляет по 1 файлу в час. Сразу после запуска Jigsaw, в случае перезагрузки компьютера или принудительного завершения работы приложения, вредонос удалит сразу 1000 файлов. В настоящий момент неизвестно, как именно Jigsaw попадает на систему жертвы.
Jigsaw ищет на системе файлы 226 различных типов и шифрует их с помощью алгоритма AES. К зашифрованным файлам добавляется расширение .FUN, .KKK, .GWS, или .BTC, в зависимости от версии вредоноса.
Список зашифрованных файлов хранится на компьютере жертвы по адресу: %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
Список файлов, с которыми связан вымогатель:
%UserProfile%\AppData\Roaming\Frfx\ %UserProfile%\AppData\Roaming\Frfx\firefox.exe %UserProfile%\AppData\Local\Drpbx\ %UserProfile%\AppData\Local\Drpbx\drpbx.exe %UserProfile%\AppData\Roaming\System32Work\ %UserProfile%\AppData\Roaming\System32Work\Address.txt %UserProfile%\AppData\Roaming\System32Work\dr %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
Запись в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe %UserProfile%\AppData\Roaming\Frfx\firefox.exe
Для удаления вредоноса и расшифровки файлов необходимо выполнить следующие действия:
- Завершить работу процессов firefox.exe и drpbx.exe
- Запретить автозапуск приложения %UserProfile%\AppData\Roaming\Frfx\firefox.exe через MSConfig
- Скачать утилиту для расшифровки файлов и запустить ее: https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip
Теория струн? У нас целый оркестр научных фактов!
От классики до авангарда — наука во всех жанрах