RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Erpressungstrojaner Jigsaw

HINWEIS: Dieser Artikel wurde vor über einem Jahr veröffentlicht. Daher kann es sein, dass Links und Bildbeispiele teilweise nicht mehr aktuell sind bzw. von uns oder dem Anbieter entfernt wurden.

Nach und nach werden Daten gelöscht

Cyberkriminelle haben sich erneut etwas einfallen lassen, um schnell an viel Geld zu gelangen. Ein Erpressungstrojaner (Ransomware), die nicht nur nach der Ausführung die Daten verschlüsselt und Geld erpresst, sondern auch noch zeitlichen Druck auf die Opfer ausübt. Mit einem Bild der Maske aus dem Horrorfilm „Saw“ wollen die Täter die Opfer einschüchtern. Je mehr sich die Opfer nun Zeit lassen, desto mehr Daten werden gelöscht. Wer also zögert, verliert möglicherweise viele wichtige Daten. Da ist man doch gern bereit, das geforderte Lösegeld zu bezahlen, oder?

Das muss aber nicht sein. Zum Glück gibt es nicht nur Kriminelle im Netz, sondern auch helfende Hände, die eine Lösung gefunden haben, diese Bedrohung zu minimieren und ggf. sogar nahezu vollständig zu erledigen.

Diverse Dienste im Netz beschreiben hier die Vorgehensweise. Wir möchten Ihnen eine Anleitung zeigen, die wir u.a. auch bei der Computerzeitung Chip.de gefunden haben:

So entfernen Sie den Jigsaw-Virus
Die Verantwortlichen hinter Jigsaw haben den Virus so programmiert, dass das angezeigte Hinweisfenster weder geschlossen noch minimiert werden kann. Allerdings lässt es sich verkleinern, wodurch Sie Platz für die weiteren Schritte haben:

Drücken Sie die Tastenkombination [Strg] + [Alt] + [Entf] und wählen Sie den Taskmanager aus.
Wechseln Sie in den Tab „Details“. Dort suchen Sie nach den beiden Prozessen „firefox.exe“ und „drpbx.exe“ und beenden sie.
Öffnen Sie im Explorer das Verzeichnis Ihres Windows-Benutzerprofils und navigieren Sie zum Ordner /AppData/Local/Drpbx/. Löschen Sie die darin befindliche Datei „drpbx.exe“ sowie das Verzeichnis selbst.
Auf dieselbe Weise verfahren Sie mit der Datei „firefox.exe“, die sich im Ordner /AppData/Roaming/Frfx/ befindet. Bei dieser handelt es sich nicht um den bekannten Webbrowser, der Virus benutzt den Namen lediglich als Tarnung.
Jigsaw: So entschlüssen Sie die Dateien
Sobald Sie die beiden Dateien entfernt haben, ist Jigsaw unschädlich gemacht und kann keine weiteren Dateien mehr löschen. Allerdings haben Sie auch weiterhin keinen Zugriff auf die verschlüsselten Inhalte. Mit dem kostenlosen JigSawDecrypter entsperren Sie die Dateien jedoch auch ohne Zahlung des geforderten Lösegelds:

Laden Sie den JigSawDecrypter herunter und entpacken Sie ihn in ein beliebiges Verzeichnis. Danach starten Sie die „JigSawDecrypter.exe“.
Über den Button „Select Directory“ wählen Sie ein Verzeichnis mit verschlüsselten Dateien aus. Sie können auch ein komplettes Laufwerk angeben, das dann automatisch nach verschlüsselten Dateien durchsucht wird.
Klicken Sie auf „Decypt my Files“ um den Entschlüsselungsvorgang zu starten. Durch das Setzen des Häkchens bei „Delete Encrypted Files?“ Kann das Tool außerdem die verschlüsselten Dateien anschließend löschen und so den Speicherplatz wieder freigegeben.

Den Decrypter bekommen sie hier: download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip

Weitere Informationen zu diesem Thema bietet auch der Blog von Botfrei an.

Scroll to top