Die Sicherheitsforscher von Bleepingcomputer warnen vor dem Trojaner Jigsaw. Er verschlüsselt unter Windows nicht nur Dateien, sondern löscht diese auch, wenn die Opfer das Lösegeld nicht zahlen.

Nach eigenen Angaben zufolge haben die Kryptologen Jigsaw in Aktion erlebt: Der Schädling soll nach der Infektion und Verschlüsselung jede Stunde eine Datei löschen. Sollte das Opfer den infizierten Computer neu starten, sollen sogar 1000 Dateien gelöscht werden.

Laut der Erpresser-Botschaft soll das Löschen maximal 72 Stunden dauern. Sollte das Opfer bis dahin nicht die 0,4 Bitcoin (rund 150 Euro) an die Erpresser gezahlt haben, soll Jigsaw alle Dateien löschen.

Mit dem kostenlosen Entschlüsselungs-Tool JigSawDecryptor (Download) der Sicherheitsforscher mit den Pseudonymen DemonSly335, MalwareHunterTeam und myself können sich Betroffene helfen. Allerdings müssen sie zuvor zwei Prozesse stoppen.

Laut Bleepingcomputer versteckt sich Jigsaw in den Prozessen drpbx.exe und firefox.exe. Die Verschlüsselung ist vorerst gestoppt, wenn diese beendet werden. In der Registry von Windows muss dann der Start-Eintrag für firefox.exe unter %UserProfile%\AppData\Roaming\Frfx\firefox.exe gelöscht werden, erläutert Bleepingcomputer weiter.

Per Klick soll anschließend der JigSawDecryptor die Daten entschlüsseln können. Dateien, die mit Jigsaw verschlüsselt wurden, weisen die Namenserweiterungen .FUN, .BTC und .KKK auf.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE