Стало известно об атаках нового вымогателя, получившего название Jigsaw — «Пила», в честь главного злодея из одноименного слэшера. От прочих он отличается тем, что не только шифрует файлы на компьютере с целью выкупа, но и действительно удаляет их, если пользователь вовремя не заплатит требуемую сумму в биткойнах. Кроме того, файлы автоматически удаляются каждый раз при перезагрузке — сразу тысяча файлов одним махом. Это первый раз, когда зловред-вымогатель не только угрожает, но и выполняет свои угрозы, а это может весьма эффективно «мотивировать» жертву заплатить выкуп поскорее.

Снимок экрана 2016-04-13 в 18.23.31

При заражении на экране появляется знаменитая маска Пилы с текстом следующего содержания: «Файлы на твоем компьютере зашифрованы. <…> Но не волнуйся, я их не удалил… пока. У тебя есть 24 часа на то, чтобы заплатить $150 биткойнами, и тогда ты получишь ключ. Каждый час я буду удалять файлы, чем дальше — тем больше за раз. По истечении 72 часов все файлы будут удалены <…> Не делай глупостей: я предусмотрел необходимые меры на этот случай».

Также вымогатель дает рекомендации, на какой бирже приобретать биткойны, и обещает, что при получении выкупа ключ будет отправлен в течение двух минут. Исследователи пока не знают, каким образом распространяется зловред.

Jigsaw сначала сканирует систему в поисках подходящих форматов, а затем применяет AES-шифрование; к файлам добавляется расширение .FUN, .KKK или .BTC. Список зашифрованных файлов сохраняется в текстовый файл, как и адрес биткойн-кошелька. Затем зловред прописывает в системе файл автозапуска, который исполняется всякий раз, когда пользователь загружает систему.

Если пользователь решил заплатить выкуп, после оплаты ему нужно нажать кнопку «Проверить статус платежа». Программа обращается к кошельку, и, если количество биткойнов в нем больше, чем сумма платежа, файлы автоматически расшифровываются.

Однако есть и хорошие новости: хакеры из MalwareHunterTeam совместно с независимыми исследователями Майклом Джиллеспи (Michael Gillespie) и Лоуренсом Адамсом (Laurence Adams) проанализировали зловреда и нашли способ расшифровать файлы без выплаты выкупа. Сначала нужно принудительно завершить процессы firefox.exe и drpbx.exe в Диспетчере задач, чтобы остановить удаление файлов. Запустив MSConfig, нужно отключить автозапуск файла firefox.exe, указывающего на исполняемый файл  %UserProfile%\AppData\Roaming\Frfx\firefox.exe.

Теперь можно приступать к расшифровке файлов посредством разработанного командой дешифровщика, который можно скачать с сайта Bleeping Computer. При его исполнении возникает простое диалоговое окно, и все, что нужно сделать, — это выбрать директорию или весь диск и нажать «Расшифровать мои файлы».

Создатели инструмента просят пользователей не удалять зашифрованные файлы, пока все необходимые данные не вернутся в первоначальный вид. При успешном завершении процесса пользователи увидят новое окно с подтверждением, что файлы расшифрованы. Затем остается только запустить антивирусную проверку и попробовать избавиться от Jigsaw.

jigsaw-decrypter

ИБ-исследователи сработали весьма быстро: по признанию участников, они провели за анализом несколько часов и смогли оперативно создать и протестировать дешифратор. Представители MalwareHunterTeam иронизируют, что, похоже, основной целью создателей шифровальщика была игра с жертвой, а не деньги.

Категории: Вредоносные программы