Jigsaw - новый вымогатель, шифрующий и удаляющий файлы в случае неуплаты


Jigsaw - новый образец вымогательского ПО, удаляющий по одному файлу в час в случае неуплаты выкупа.

Попав на систему, вредонос отображает сообщение с требованием заплатить $150 за расшифровку файлов. В случае если оплата не была осуществлена вовремя, вымогатель удаляет по 1 файлу в час.

После своего запуска, Jigsaw, в случае перезагрузки компьютера или принудительного завершения работы приложения, удаляет сразу 1000 файлов.

Пока неизвестно, каким именно образом Jigsaw попадает на компьютеры жертв. Однако установлено, что на системе вредонос ищет файлы 226 различных типов и шифрует их с помощью алгоритма AES. К зашифрованным файлам добавляется расширение

  • .FUN, .KKK, .GWS, .BTC,

в зависимости от версии вредоноса.

Список зашифрованных файлов хранится на компьютере жертвы по адресу:

  • %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt


Список файлов, с которыми связан вымогатель:

  • %UserProfile%\AppData\Roaming\Frfx\
  • %UserProfile%\AppData\Roaming\Frfx\firefox.exe
  • %UserProfile%\AppData\Local\Drpbx\
  • %UserProfile%\AppData\Local\Drpbx\drpbx.exe
  • %UserProfile%\AppData\Roaming\System32Work\
  • %UserProfile%\AppData\Roaming\System32Work\Address.txt
  • %UserProfile%\AppData\Roaming\System32Work\dr
  • %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt


Запись в реестре:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe
    %UserProfile%\AppData\Roaming\Frfx\firefox.exe


Для удаления вредоноса и расшифровки файлов необходимо:

  • Завершить работу процессов firefox.exe и drpbx.exe
  • Запретить автозапуск приложения %UserProfile%\AppData\Roaming\Frfx\firefox.exe через MSConfig
  • Скачать утилиту для расшифровки файлов и запустить ее: https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip