Taken from BleepingComputer.com
Michael Gillespie hat eine Neue Variante der Jigsaw Ransomware entdeckt. Dieses mal wir ein Anonymous Theme als Hintergrund für die Verschlüsselungsmeldung benutzt. Der neue Hintergrund zeigt nun den Leitspruch „We are Anonymous. We Are Legion. We do not forget. We do not forgive. Expect us.“ Die gute Nachricht, Michaels Jigsaw Decrypter wurde bereits einem Update unterzogen. Diese Variante der Ransomware verschlüsselt die Daten mit AEs Verschlüsselung.
Die Ransomware installiert sich in das Verzeichnis %UserProfile%AppData\Local\MS\app_roaming.exe und erstellt dort eine Autorun Datei namens Microsoft Defender. Somit ist der Prozess nicht auf den ersten Blick als Gefährlich ersichtlich. Beim Start wird eine Meldung angezeigt in welcher darauf hingewiesen wird dass ein Scan ausgeführt wird. Diese Meldung kann mit OK bestätigt werden. Während des „scan“ werden die Daten verschlüsselt und mit der Endung .xyz versehen. Um die Daten wieder zu bekommen, verlangen die Erpresser 250$
Unten ist die komplette Meldung ersichtlich.
Mit dem Decrypter ist es möglich die verschlüsselten Daten wiederherzustellen.
Ebenfalls sollten Benutzer, welche bemerkt haben das sich Jigsaw ans Werk gemacht hat, denn Prozess app_roaming.exe im Taskmanager stoppen
Schreibe einen Kommentar