2191918

Ransomware Jigsaw spielt mit Salamitaktik

20.04.2016 | 16:46 Uhr |

Der Erpresserschädling Jigsaw spielt ein übles Spiel mit seinen Opfern. Er löscht von Stunde zu Stunde mehr Dateien und erhöht das geforderte Lösegeld.

Ransomware, also erpresserische Malware, die Dateien verschlüsselt und dann ein Lösegeld fordert, taucht im Wochenrhythmus in immer neuen Variationen auf. Offenbar haben sich die Programmierer zu einer Art Wettbewerb verabredet, um möglichst originell zu sein. Der Schädling Jigsaw (Stichsäge) verschlüsselt Dateien und löscht sie stundenweise. Dabei erhöht sich jeweils das geforderte Lösegeld.

Der japanische Antivirushersteller Trend Micro berichtet in seinem deutschen Blog über diese neueste Spielart aus der Gattung Crypto-Ransomware. Demnach ist Jigsaw ein Verwandter der bekannten Schädlinge Petya und Cerber. Verbreitet wird Jigsaw über verseuchte Werbeanzeigen, die eine Datei aus einem Cloud-Speicherdienst auf den Rechner schaufelt. Varianten der Ransomware werden über Porno-Websites verbreitet – die Opfer werden als „pornosüchtig“ beschimpft.

Ist der Rechner mit Jigsaw infiziert, erscheint eine Meldung auf dem Bildschirm, die ein Bild der Figur „Billy“ aus dem Film „Saw“ zeigt. Der Text verkündet, die Dateien des Benutzers seien verschlüsselt, aber noch nicht gelöscht. Das Opfer wird aufgefordert binnen 24 Stunden 150 US-Dollar in Bitcoins zu zahlen. Alle Stunde würden Dateien gelöscht und der Betrag gesteigert. Nach 72 Stunden seien alle gelöscht.

Ransomware Jigsaw droht mit exponentieller Dateilöschung
Vergrößern Ransomware Jigsaw droht mit exponentieller Dateilöschung

Neu bei Jigsaw ist der Einsatz exponentieller Steigerung: am ersten Tag löscht der Schädling nur wenige Dateien, am zweiten Tag einige hundert und am dritten Tag mehrere tausend Dateien. Und das soll heißen, diese Dateien sind auch nach Zahlung des Lösegelds nicht mehr herstellbar. Versucht das Opfer die Malware durch Schließen des Fensters oder Neustart des Rechners zu überlisten, löscht Jigsaw 1000 Dateien.

Die Liste der Dateitypen, die Jigsaw verschlüsselt, ist lang. Sie reicht von Bild- und Videodateien über Office-Dokumente bis zu Datenbanken. Die verschlüsselten Dateien haben je nach Jigsaw-Variante Endungen wie .fun, .KKK, .BTC oder .GWS. Ob man seine Dateien nach rechtzeitiger Zahlung des Lösegeld zurück bekommt, ist wie immer ungewiss.

Einzig wirksamer Schutz vor dem Datenverlust durch Ransomware sind regelmäßige Backups. Trend Micro empfiehlt hierfür die 3-2-1-Regel: drei Kopien in zwei Formaten auf einem isolierten Medium. Sie sollen demnach also Backups etwa auf einem externen Laufwerk (USB-Stick oder -Festplatte), in der Cloud und auf einer CD/DVD speichern. Damit soll sicher gestellt werden, dass zumindest eine Sicherungskopie erhalten bleibt.

0 Kommentare zu diesem Artikel
2191918