Hvad er Jigsaw Ransomware og hvordan man beskytter mod det?
I marts 2016Stiksavbød på Billy dukken karakter fra gyserfilmen Sav på sin side med krav om løsesum
Selvom den ramte frygt i virksomheder verden over, viste denne terror sig at være fejlbarlig, fordi den blev skrevet i . NET, og dens kode kunne læses for at finde ud af, hvordan man dekrypterer filer i stedet for at betale løsesum.
På trods af sin sikkerhedssvaghed skal Jigsaw beskyttes mod. Selvom det ikke er i gang i øjeblikket, har Jigsaw en vane med at rejse sig fra de døde, så det kan stadig vende tilbage og skræmme livet ud af din netværksadministrator.
Om Jigsaw ransomware
Jigsaw ransomware blev også kendt som BitcoinBlackmailer . Det angriber kun computere, der kører Windows-operativsystemet. Når malware først opdages, finder hvert cybersikkerhedsforskningslaboratorium et navn. Mens nogle, når de lærer om andre laboratorier at navngive en virus, vil gå sammen med det navn, vil andre, der identificerer den nye malware næsten samtidigt, komme med deres ord for det. Således er noget malware kendt af flere karakterer, og dette er tilfældet med Jigsaw/BicoinBlackmailer.
Jigsaw var hovedpersonen i Sav horror franchise. Dette var karakteren Jim Kramer, en seriemorder, døbt stiksavsmorderen . I optakten til et mord fangede Jigsaw sine ofre og hånede dem derefter med opgaver, der lovede at redde deres liv. Instruktionerne til disse opgaver blev leveret over tv-skærme af en marionet, der blev kaldt Billy . Et billede af denne marionet vises på kravet om løsesum fra malwaren, som inspirerede dens navn.
Navnet Jigsaw dukkede ikke op på skærmen i de tidligere versioner. Men som månederne gik, blev nye varianter frigivet, og forfatterne antog Jigsaw-navnet.
Hvad gør Jigsaw ransomware?
Jigsaw kommer ind i et system igennem spam e-mail . Varianter af ransomware kan også findes i Adware og på downloads af pornowebsteder. Den vedhæftede fil eller download inkluderer installationsprogrammet til Jigsaw og vil aktiveres, når filen er åbnet.
Jigsaw skjuler sin eksistens ved at adoptere navnet firefox.exe eller drpbx.exe. Koden til den krypterende virus er placeret i %UserProfile%AppDataRoamingFrfxfirefox.exe, og den skriver en startkommando til sig selv i listen over startprocesser.
Ransomwaren krypterer alle datafiler på den inficerede computer, plus dens Master Boot Record . Det bruger AES kryptering. Det sikrer også, at den starter op med computeren. Kryptering starter med det samme, når programmet er blevet installeret. Heldigvis bevæger Jigsaw sig ikke sideværts rundt i et netværk. Den krypterer kun filer på den enhed, den har downloadet til. Systemet krypterer ikke eksekverbare filer .
Løsebeløbsskærmen vises, når krypteringsprocessen er fuldført. Dette inkluderer en nedtælling i en time; når det når nul, en fil bliver slettet . Skærmen består af en knap, som, når den trykkes, frembringer en tekstfil, der viser alle de krypterede filer.
Løsesummen for dekrypteringsnøglen svarer til Bitcoin, der svarer til $150. For at motivere offeret sletter Jigsaw en fil efter en time . Den udfører derefter en slettecyklus hver time, og sletter et stigende antal filer med hver handling. Hvis betalingen ikke er foretaget 72 timer efter den første besked vises, vil ransomware slette hele computeren.
At genstarte computeren er en dårlig idé, fordi ransomware vil starte op igen og slette 1.000 filer som en straf. Advarslen om løsesum angiver også, at 1.000 filer vil blive slettet, hvis brugeren forsøger at afslutte malwarens kørende proces. Dette viste sig dog at være usandt , hvilket gør det meget nemt at besejre programmet.
Mange cybersikkerhedsanalytikere konkluderede, at Jigsaw var et produkt af amatører , måske overpræsterende teenagere, fordi det ikke var særlig godt planlagt. Den lethed, hvormed forskere kunne få øje på processen og stoppe den, viste, at hackerne ikke havde meget erfaring med at skabe malware. Dette fører til den konklusion, at Jigsaw-systemet var mere en vove end en trussel.
Betale løsesum for Jigsaw ransomware
Løsepengeskærmen viser identifikatoren for en Bitcoin tegnebog . Offeret formodes at købe den efterspurgte Bitcoin og allokere dem til den pung.
Skærmen indeholder også en knap, som offeret skal trykke på, når betalingen er foretaget. Systemet tjekker derefter kontoen for indbetalingen, og hvis det opdages, vil det ske opdatere programmet at dekryptere alle filerne og derefter slette alle ransomware-komponenterne, og sætte computeren tilbage i sin oprindelige tilstand.
Varianter af Jigsaw
Der var mange varianter af stiksav , hver angivet med en anden løsesum-skærm, en anden udvidelse, der bruges til krypterede filer, og forskellige metoder til indgang. Størrelsen af løsesummen ændrede sig også med hver version. Den første inkarnation bad om $150, men kravene til efterfølgende varianter varierede fra $10 til $380. Den originale Jigsaw tilføjede .sjovt udvidelsen, og udviklerne brugte oprindeligt dette navn til ransomware.
Nyere versioner af Jigsaw-malwaren var enten tilpasninger for at ændre sproget på efterspørgselsskærmen, justeringer af koden, ændringer af ransomware-skærmlayoutet eller et andet navngivet ransomware, der var næsten identisk med det originale Jigsaw.
Nogle varianter brugt en kontakt-e-mailadresse som den krypterede filtypenavn med flere forskellige adresser ansat. Dette kunne betyde, at mange af varianterne blev tilpasset af andre personer, der havde tilegnet sig Jigsaw-koden.
Gendannelse fra Jigsaw ransomware
Cybersikkerhedsanalytikere opdagede meget hurtigt, at Jigsaw ransomware og alle dens varianter kunne være let besejret . Selvom løsesumsskærmen angiver, at 1.000 filer vil blive slettet, hvis brugeren forsøger at stoppe processen, er det ikke tilfældet.
Følg disse trin for at gendanne fra Jigsaw gratis:
- ÅbnJoblisteog dræbe to processer. Disse erFirefoxogDropbox. Den variant, du har, kan bruge den ene eller begge af disse. Hvis du ikke får øje på begge dele, så fortvivl ikke. Bare sørg for, at ingen af dem kører.
- ÅbnStart opfanen i Task Manager og deaktiver Firefox- og/eller Dropbox-posterne der.
- Download CheckPoint Jigsaw Puzzle Solver ved at klikke her . Pak filen JPS.zip ud.
- Gå til den mappe, du pakkede ud i, og højreklik påJPS.exefil – vælgKør som administrator.
- Følg instruktionerne i Jigsaw Puzzle Solver.
Check Point-værktøjet tricker Jigsaw-programmet til at tro, at løsesummen er blevet betalt, så den starter alle sine afhjælpningsprocesser og dekrypterer alle filer. Det vil også rydde op ved at fjerne alle elementer af Jigsaw ransomware fra computeren.
To egenskaber ved Jigsaw gør det nemt at have med at gøre. Først og fremmest smitter det kun én computer på et tidspunkt; det kopierer ikke sig selv rundt på netværket. For det andet, det affyrer med det samme efter at det er blevet installeret på en computer, så du behøver ikke bekymre dig om, at der kan ligge kopier i dvale på nogen af dine computere.
Beskyttelse mod Jigsaw ransomware
Jigsaw er ikke dukket op igen i et stykke tid. Det var skaberne dog aldrig anholdt, så de er stadig derude og kan til enhver tid genstarte en kampagne. Selvom der findes en nem løsning til at vende krypteringen, stoler disse hackere på, at nogle mennesker, der bliver angrebet, vil panik og betale løsesummen så hurtigt som muligt uden at lede efter en gratis løsning.
Hackerne bag Jigsaw var aldrig identificeret . Det blev ikke engang opdaget, hvilket land de opererer i. Der er masser af forskning offentliggjort på nettet, der forklarer svaghederne ved Jigsaw, og hackerne har mere end sandsynligt læst hele den analyse. De kunne være derude lige nu, hærdning deres ransomware for at gøre det sværere at besejre.
Jigsaw ransomware bliver downloadet af computerbrugeren. Derfor er væsentlig beskyttelse mod fremtidige angreb fra denne og enhver anden ransomware uddanne brugersamfundet om at downloade vedhæftede filer på e-mails fra ukendte kilder. Det er også en god idé at placere sanktioner for brugerne for at forhindre dem i at downloade uautoriseret software til virksomhedens computere.
Du skal også have intelligent cybersikkerhedssoftware installeret på alle endpoints og investere i sikkerhedsovervågningssoftware.
De bedste værktøjer til forsvar mod Jigsaw ransomware
Da stationære computere er de mest sårbare over for Jigsaw ransomware, skal du få en slutpunktdetektion og respons suite (EDR)-pakke til at beskytte alle dine slutpunkter. Hvis du er bundet til en databeskyttelsesstandard, som f.eks HIPAA , PCI DSS , eller GDPR , bør du have sikkerhedssoftware til at forsvare følsomme data mod ethvert angreb.
EDR-systemer har udviklet sig fra de originale antivirussystemer. Mens AV'er kontrollerede for filer eller processer, der kører på en computer i en liste over kendt malware, er EDR'er mere sofistikerede. IT tager tid for cybersikkerhedsforskningslaboratorier at blive opmærksomme på ny malware, undersøge det og producere en løsning. I den periode kunne mange computere blive inficeret af det, der kaldes ' zero-day angreb .' Moderne EDR-systemer er ikke afhængige af en sortliste. I stedet leder de efter usædvanlig adfærd .
Et sundt EDR-system deler information om angreb mellem klienter. Dette skærer ud af forskningslaboratorier ved at samle erfaringer, så snart implementeringen af en EDR spots en ny virus på et klientwebsted kender alle de andre forekomster af den EDR, der opererer i verden, om det.
Her er to eksempler på den type beskyttelsessoftware, du skal bruge for at beskytte mod Jigsaw og enhver anden ransomware.
1. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insight er en koordineret virksomhedsdækkende EDR. Det inkluderer moduler installeret på alle endepunkter plus en cloud-baseret central controller. Endpoint-agenterne er implementeringer af et selvstændigt næste-generations antivirussystem, der markedsføres af CrowdStrike. Dette kaldes Falcon Prevent .
Endpoint-agenterne er fuldt ud autonom og vil fortsætte med at fungere, hvis computeren er afskåret fra netværket og ikke kan komme igennem til Insight-controlleren. Normalt overvåger dette modul slutpunktet og uploader hændelsesdata til Insight-skysystemet til analyse. Skysystemet modtager også automatiseret trusselsefterretning fra Insight-brugerfællesskabet.
Slutpunktsagenten leder efter unormal aktivitet og kan implementere øjeblikkelige handlinger, hvis den opdager det. Instruktioner til svar kommer også ned fra Insight-systemet. Tjenesten kan dræbe processer, slette filer, isolere enheden fra netværket, suspendere brugerkonti og blokere kommunikation med mistænkelige IP-adresser. Alle disse handlinger er velegnede til at håndtere Jigsaw.
Falcon Insights evner giver beskyttelse mod zero-day angreb samt en liste over kendt malware. De koordinerende funktioner i Insight cloud-modulet betyder, at så snart et endepunkt angribes, bliver alle andre endepunktsagenter sat i alarmberedskab.
Du kan få en15 dages gratis prøveperiodeaf Falcon Prevent.
CrowdStrike Falcon Insight Start 15-dages GRATIS prøveperiode
to. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus er et system til beskyttelse af følsomme data. Denne pakke er designet til at hjælpe virksomheder, der skal overholde en databeskyttelsesstandard, såsom HIPAA, PCI DSS og GDPR. Databeskyttelsessystemer skal sikre, at data ikke beskadiges eller er unøjagtige og vedligeholde deres tilgængelighed til passende brug. Nogle malware-angreb sigter mod at stjæle og derefter sælge eller udgive personligt identificerbare oplysninger (PII).
DataSecurity Plus lokaliserer og kategoriserer følsomme data og så beskytter den. Systemet implementerer filintegritetsovervågning, som advarer om uautoriserede ændringer af filer eller uautoriseret bevægelse. Tjenesten overvåger e-mails og USB-enheder at blokere downloads og forhindre videregivelse af data.
Sikkerhedstjenesten beskytter Windows-systemer, som er målene for Jigsaw og de fleste andre ransomware. Pakken præsenterer muligheder for administratorer for at konfigurere automatiske svar på opdagede angreb.
Softwaren til ManageEngine DataSecurity Plus installeres på Windows Server, og den er tilgængelig for en 30-dages gratis prøveperiode .