Co je Jigsaw Ransomware a jak se proti němu chránit?
V březnu 2016Vykružovačkapředstavoval Loutka Billy postava z hororu Viděl na své stránce s žádostí o výkupné
Ačkoli to vyvolalo strach do podniků po celém světě, ukázalo se, že tento teror je omylný, protože byl napsán v . SÍŤ, a jeho kód lze přečíst, aby se zjistilo, jak dešifrovat soubory namísto placení výkupného.
Navzdory své bezpečnostní slabosti musí být Jigsaw chráněn. I když Jigsaw momentálně neběsní, má ve zvyku vstávat z mrtvých, takže se může vrátit a vyděsit život vašeho správce sítě.
O Jigsaw ransomwaru
Jigsaw ransomware byl také známý jako BitcoinBlackmailer . Útočí pouze na počítače s operačním systémem Windows. Když je malware poprvé spatřen, každá laboratoř pro výzkum kybernetické bezpečnosti přijde s názvem. Zatímco někteří, když se dozvědí o jiných laboratořích pojmenujících virus, budou souhlasit s tímto názvem, jiní, kteří identifikují nový malware téměř současně, přijdou na své slovo. Některý malware je tedy znám podle více znaků, a to je případ Jigsaw/BicoinBlackmailer.
Jigsaw byl hlavním protagonistou Viděl hororová franšíza. Toto byla postava Jima Kramera, sériového vraha, dabovaného Jigsaw Killer . Před vraždou Jigsaw chytil své oběti do pasti a poté je posmíval úkoly, které slibovaly, že jim zachrání život. Pokyny k těmto úkolům předávala přes televizní monitory loutka tzv Billy . Obrázek této loutky se objevuje na žádost o výkupné za malware, který inspiroval její název.
Název Jigsaw se na obrazovce dřívějších verzí neobjevil. Jak však měsíce plynuly, byly vydány nové varianty a autoři přijali jméno Jigsaw.
Co dělá Jigsaw ransomware?
Jigsaw se dostane do systému skrz spamový e-mail . Varianty ransomwaru lze také nalézt v Adware a na porno stránkách ke stažení. Příloha nebo stažení obsahuje instalační program pro Jigsaw a aktivuje se po otevření souboru.
Jigsaw skrývá svou existenci přijetím názvu firefox.exe nebo drpbx.exe. Kód pro šifrovací virus se nachází v %UserProfile%AppDataRoamingFrfxfirefox.exe, a zapíše si spouštěcí příkaz do seznamu Startup process.
Ransomware zašifruje všechny datové soubory na infikovaném počítači plus jeho Hlavní spouštěcí záznam . Používá AES šifrování. Zajišťuje také spouštění s počítačem. Šifrování se spustí okamžitě po instalaci programu. Naštěstí se Jigsaw nepohybuje bočně po síti. Šifruje pouze soubory na zařízení, do kterého byl stažen. Systém nešifruje spustitelné soubory .
Po dokončení procesu šifrování se zobrazí obrazovka výkupného. To zahrnuje odpočítávání na hodinu; když to dosáhne nuly, soubor se smaže . Obrazovka se skládá z tlačítka, které po stisknutí vyvolá textový soubor se seznamem všech zašifrovaných souborů.
Výkupné za dešifrovací klíč je ekvivalent bitcoinu 150 USD. Aby Jigsaw motivoval oběť, smaže soubor po jedné hodině . Potom každou hodinu provede cyklus mazání, přičemž s každou akcí maže rostoucí počet souborů. Pokud platba neproběhne 72 hodin po zobrazení úvodní zprávy ransomware vymaže celý počítač.
Restartování počítače je špatný nápad, protože ransomware se znovu spustí a smazat 1000 souborů jako trest. Varování o výkupném také uvádí, že 1 000 souborů bude smazáno, pokud se uživatel pokusí ukončit běžící proces malwaru. To se však ukázalo nepravdivé , takže je velmi snadné porazit program.
Mnoho analytiků kybernetické bezpečnosti dospělo k závěru, že Jigsaw byl produktem amatéři , možná překonání náctiletých, protože to nebylo moc dobře naplánované. Snadnost, s jakou výzkumníci dokázali tento proces odhalit a zastavit, ukázala, že hackeři neměli mnoho zkušeností s vytvářením malwaru. To vede k závěru, že systém Jigsaw byl spíše odvahou než hrozbou.
Zaplacení výkupného za Jigsaw ransomware
Obrazovka výkupného zobrazuje identifikátor bitcoinová peněženka . Oběť má koupit požadovaný bitcoin a přidělit je této peněžence.
Na obrazovce je také tlačítko, které musí oběť stisknout po provedení platby. Systém poté zkontroluje účet pro vklad, a pokud je detekován, provede jej aktualizovat program dešifrovat všechny soubory a poté odstranit všechny součásti ransomwaru, čímž se počítač vrátí do původního stavu.
Varianty Jigsaw
Bylo mnoho varianty Jigsaw , z nichž každá je označena jinou obrazovkou výkupného, jinou příponou používanou pro šifrované soubory a různými metodami vstupu. S každou verzí se také měnila výše výkupného. První inkarnace požadovala 150 dolarů, ale požadavky následujících variant se pohybovaly od 10 do 380 dolarů. Původní Jigsaw přidal .zábava a vývojáři původně používali tento název pro ransomware.
Novější verze malwaru Jigsaw byly buď úpravy pro změnu jazyka obrazovky poptávky, upřesnění kódu, změny rozvržení obrazovky ransomwaru nebo jinak pojmenovaný ransomware, který byl téměř totožný s původním Jigsaw.
Některé použité varianty kontaktní e-mailovou adresu jako šifrovaná přípona souboru s několika různými adresami. To by mohlo znamenat, že mnoho variant bylo upraveno jinými jedinci, kteří získali kód Jigsaw.
Obnova z ransomwaru Jigsaw
Analytici kybernetické bezpečnosti velmi rychle zjistili, že ransomware Jigsaw a všechny jeho varianty mohou být snadno porazit . Přestože obrazovka výkupného uvádí, že pokud se uživatel pokusí proces zastavit, bude smazáno 1 000 souborů, není tomu tak.
Chcete-li zdarma obnovit z Jigsaw, postupujte takto:
- OtevřiSprávce úloha zabít dva procesy. Tyto jsouFirefoxaDropbox. Varianta, kterou máte, může použít jednu nebo obě z nich. Pokud nevidíte obojí, nezoufejte. Jen se ujistěte, že ani jeden neběží.
- OtevřiSpuštěníve Správci úloh a deaktivujte tam položky Firefox a/nebo Dropbox.
- Stáhněte si CheckPoint Jigsaw Puzzle Solver kliknutím tady . Rozbalte soubor JPS.zip.
- Přejděte do adresáře, do kterého jste rozbalili, a klikněte na něj pravým tlačítkemJPS.exesoubor – vyberteSpustit jako administrátor.
- Postupujte podle pokynů v Řešiteli skládaček.
Nástroj Check Point triky programu Jigsaw si myslí, že výkupné bylo zaplaceno, a tak spustí všechny své nápravné procesy a dešifruje všechny soubory. Vyčistí se také odstraněním všech prvků Jigsaw ransomwaru z počítače.
Dvě vlastnosti Jigsaw usnadňují manipulaci. Za prvé, pouze infikuje jeden počítač včas; nereplikuje se po síti. Za druhé, to okamžitě vystřelí po instalaci do počítače, takže se nemusíte obávat, že by na některém z vašich počítačů mohly ležet ladem kopie.
Ochrana proti Jigsaw ransomware
Jigsaw se už nějakou dobu neobjevil. Tvůrci však byli nikdy nezatčen, takže jsou stále venku a mohou kampaň kdykoli znovu spustit. Přestože existuje snadné řešení, jak zvrátit šifrování, tito hackeři spoléhají na skutečnost, že někteří napadení panika a zaplatit výkupné co nejrychleji, aniž byste hledali bezplatné řešení.
Hackeři za Jigsawem byli nikdy neidentifikován . Nebylo ani zjištěno, ve které zemi působí. Na webu je zveřejněno mnoho výzkumů, které vysvětlují slabiny Jigsaw, a je více než pravděpodobné, že hackeři četli všechny tyto analýzy. Mohli by tam být právě teď, kalení jejich ransomware, aby bylo těžší porazit.
Jigsaw ransomware si stáhne uživatel počítače. Proto je základní ochranou proti budoucím útokům tohoto a jakéhokoli jiného ransomwaru vzdělávat uživatelskou komunitu o stahování příloh e-mailů z neznámých zdrojů. Je také dobré ukládat uživatelům sankce, které jim zabrání ve stahování neoprávněného softwaru do firemních počítačů.
Měli byste být také inteligentní kybernetický bezpečnostní software nainstalované na všech koncových bodech a investovat do softwaru pro monitorování zabezpečení.
Nejlepší nástroje pro obranu proti Jigsaw ransomware
Vzhledem k tomu, že stolní počítače jsou nejzranitelnější vůči ransomwaru Jigsaw, musíte si pořídit detekce a reakce koncového bodu Suite (EDR) pro ochranu všech vašich koncových bodů. Pokud jste vázáni na standard ochrany osobních údajů, jako je např HIPAA , PCI DSS nebo GDPR , měli byste mít bezpečnostní software k ochraně citlivých dat před jakýmkoli útokem.
EDR systémy se vyvinuly z původních antivirových systémů. Zatímco AV kontrolovaly soubory nebo procesy spuštěné v počítači ve známém seznamu malwaru, EDR jsou sofistikovanější. IT potřebuje čas, než laboratoře pro výzkum kybernetické bezpečnosti zjistí nový malware, prozkoumají jej a vytvoří řešení. Během tohoto období mohlo být mnoho počítačů infikováno tzv. zero-day útoky .“ Moderní systémy EDR se nespoléhají na černou listinu. Místo toho hledají neobvyklé chování .
Zvukový systém EDR sdílí informace o útocích mezi klienty. To odbourává výzkumné laboratoře tím, že shromažďuje zkušenosti, takže jakmile se implementace EDR objeví nový virus na jednom klientském webu o tom vědí všechny ostatní instance této EDR působící na světě.
Zde jsou dva příklady typu ochranného softwaru, který budete potřebovat k ochraně před Jigsaw a jakýmkoli jiným ransomwarem.
1. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insight je koordinovaná celopodniková EDR. Zahrnuje moduly nainstalované na všech koncových bodech plus cloudový centrální řadič. Agenti koncových bodů jsou implementacemi samostatného antivirového systému nové generace nabízeného společností CrowdStrike. Tomu se říká Falcon Prevent .
Agenti koncových bodů jsou plně k dispozici autonomní a bude pokračovat v provozu, pokud je počítač odpojen od sítě a nemůže se dostat k ovladači Insight. Obvykle tento modul monitoruje koncový bod a nahrává data událostí do cloudového systému Insight za účelem analýzy. Cloudový systém také přijímá automatizované zpravodajství o hrozbách z komunity uživatelů Insight.
Agent koncového bodu hledá abnormální činnost a může provést okamžitá opatření, pokud si toho všimne. Pokyny pro odpovědi také pocházejí ze systému Insight. Služba může zabíjet procesy, mazat soubory, izolovat zařízení od sítě, pozastavovat uživatelské účty a blokovat komunikaci s podezřelými IP adresami. Všechny tyto akce jsou vhodné pro řešení Jigsaw.
Schopnosti Falcon Insight poskytují ochranu proti zero-day útoky a také seznam známého malwaru. Koordinační funkce cloudového modulu Insight znamenají, že jakmile je napaden jeden koncový bod, jsou všichni ostatní koncoví agenti uvedeni do pohotovosti.
Můžete získat a15denní bezplatná zkušební verzespolečnosti Falcon Prevent.
CrowdStrike Falcon Insight Start 15denní zkušební verze ZDARMA
dva. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus je systém pro ochranu citlivých dat. Tento balíček byl navržen tak, aby pomohl společnostem, které musí dodržovat standard ochrany osobních údajů, jako je HIPAA, PCI DSS a GDPR. Systémy ochrany dat musí zajistit, aby data nebyla poškozena nebo nepřesná, a udržovat jejich dostupnost pro vhodné použití. Některé malwarové útoky mají za cíl krádež a následný prodej nebo publikování osobně identifikovatelné údaje (PII).
DataSecurity Plus vyhledá a kategorizuje citlivá data a pak ho chrání. Systém implementuje monitorování integrity souborů, které upozorňuje na neoprávněné změny souborů nebo neoprávněný pohyb. Služba monitoruje e-maily a USB zařízení k blokování stahování a zabránění prozrazení dat.
Bezpečnostní služba chrání systémy Windows, které jsou cílem pro Jigsaw a většinu dalšího ransomwaru. Balíček představuje možnosti pro administrátory, jak nastavit automatické reakce na detekované útoky.
Software pro ManageEngine DataSecurity Plus se nainstaluje na Windows Server, a je k dispozici pro 30denní bezplatná zkušební verze .