Quelle: winfuture.de
Unter dem Namen Jigsaw ist ein neuer Crypto-Trojaner im Umlauf, der seine Opfer zusätzlich unter Druck setzt: Denn anstelle Dateien nur zu verschlüsseln, löscht er diese auch nach Ablauf einer Frist, sollte der Betroffene bis dahin nicht das geforderte Lösegeld zahlen. Glücklicherweise lässt sich der von den Saw-Filmen inspirierte Schädling schnell unschädlich machen und selbst der Zugriff auf die verschlüsselten Dateien ist ohne Zahlung schnell wiederhergestellt, wie unsere Kollegen von SemperVideo hier zeigen.
Jigsaw beseitigen
Wurde ein Computer von Jigsaw infiziert, ist schnelles Handeln gefragt, denn der Trojaner löscht im Stundentakt Dateien. Ein Ausschalten des Computers ist nicht empfehlenswert, denn bei jedem Neustart werden 1000 Dateien auf einmal gelöscht. Zwar lässt sich das Programmfenster von Jigsaw weder schließen noch minimieren, allerdings kann es problemlos verkleinert werden, wodurch dann der Zugriff auf den Explorer sowie Taskmanager (oder den Process Explorer) möglich ist.
Letzterer zeigt dann auch schnell, wo sich Jigsaw auf der Festplatte versteckt: Der Trojaner tarnt sich mit dem Prozessnamen "Firefox", die zugehörige Datei drpbx.exe liegt im Verzeichnis /AppData/Local/Drpbx/ des Benutzerordners. Nachdem der Prozess beendet wurde, können Sie die Datei beziehungsweise den Ordner problemlos löschen. Das Verzeichnis /AppData/Roaming/Frfx/ sowie die darin enthaltene firefox.exe müssen Sie ebenfalls entfernen, denn diese würde sonst bei einem Neustart des PCs einen Teil der verschlüsselten Dateien löschen.
Dateien entschlüsseln
Sind die beiden Dateien gelöscht, wurde Jigsaw bereits unschädlich gemacht, jedoch ist der Zugriff auf die verschlüsselten Daten weiterhin nicht möglich. Hierfür benötigen Sie den kostenlosen JigSawDecrypter. Nach dem Start genügt es, ein Verzeichnis mit verschlüsselten Dateien auszuwählen und auf den Button "Decrypt My Files" zu klicken. Alternativ kann auch ein ganzes Laufwerk angegeben und nach verschlüsselten Dateien durchsucht werden.
http://videos.winfuture.de/16069.mp4
(Dieser Beitrag wurde zuletzt bearbeitet: 15.04.2016 23:41 von Olaf.)
|