Ransomware Jigsaw gibt Bezahlinstruktionen per Live-Chat

Die Autoren der Ransomware Jigsaw suchen direkten Kontakt zu ihren Opfern. Eine jetzt neu entdeckte Variante übermittelt ihre Forderungen per Live-Chat, wo der Betroffene auch Fragen stellen kann, wie Trend Micro berichtet. Es handle sich nicht um ein selbst entwickeltes Chatmodul; vielmehr hätten die Kriminellen offenbar den Client von onWebChat übernommen.

Zugleich warnen die Sicherheitsforscher vor einer Viktimisierung: Auch wenn sich der Chat-Gesprächspartner menschlich gebe und sogar einen Preisnachlass um 25 Dollar anbiete, solle man sich als Opfer nicht zur Empathie verleiten lassen, schreibt Trend Micro. Mit einem Backup könne man die Daten wiederherstellen, ohne zu zahlen.

Interessant sei auch, dass der „Servicemitarbeiter“ im Chat nicht wisse, wann ein Anwender infiziert wurde, sondern sich auf dessen Angaben verlassen müsse, wenn er über Rabatte verhandle. Das Lösegeld erhöht sich nämlich eigentlich alle 24 Stunden. Immerhin können die Chat-Ansprechpartner Neulingen erklären, wie diese einfach an Bitcoin kommen.

Jigsaw war im April erstmals beobachtet worden. Es terrorisiert Opfer durch drastische Maßnahmen. So werden jedesmal, wenn ein Timer die Minuten von 60 auf 0 herunterzählt, zufällige Dateien vom Rechner gelöscht. Und schaltet dieses seinen Rechner aus, reagiert das Schadprogramm mit Löschung von gleich 1000 Dateien auf einmal.

Jigsaw verschlüsselt insgesamt 240 Dateitypen mit AES, die es an der Endung erkennt. Selbst verwendet es so „witzige“ Dateiendungen wie .FUN, .KKK, .GWS und .BTC. Gegen Zahlung von zunächst typischerweise 150 Dollar verspricht es einen Schlüssel, um das System in seinen früheren Zustand zurückzuversetzen.

Als es Sicherheitsforschern gelungen war, ein kostenloses Entschlüsselungswerkzeug für Jigsaw zu schreiben, reagierten die Kriminellen mit diversen Änderungen. So benannten sie die Malware in CryptoHitman um, schrieben einen neuen Sperrbildschirm und wechselten auf die Dateiendung .PORNO für verschlüsselte Dateien. Nachdem das einmal bemerkt wurde, war es aber ein Leichtes, auch das Dechiffrierwerkzeug umzustellen. Der Decryptor entschlüsselt im Fall der Chat-Variante von Jigsaw laut Trend Micro „einige“ Dateien.

Anwender sollten Klicks auf Anhänge in nicht angeforderten E-Mails vermeiden, um nicht Opfer von Ransomware zu werden. Außerdem empfiehlt sich der Einsatz einer aktuellen Sicherheitslösung. Regelmäßige Backups ermöglichen im Notfall eine Wiederherstellung des Systems.

Gerade warnt Trend-Micro-Mitarbeiter Udo Schneider noch einmal in einem Blogbeitrag, Lösegeld solle man grundsätzlich nicht bezahlen, weil dies die kriminellen Aktivitäten fördere und die nächste Generation an Schadprogrammen finanziere. In der vergangenen Woche hatte die Universität von Calgary in Kanada sich mit 20.000 Dollar von einer Ransomware freigekauft.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de