Erpressungs-Trojaner: Jigsaw mutiert zu CryptoHitman und ist geknackt
Die Drahtzieher hinter der Ransomware Jigsaw müssen trotz ihrer neuen Version namens CryptoHitman eine Schlappe einstecken: Opfer brauchen dank eines kostenlosen Entschlüsselungs-Tools kein Lösegeld mehr zahlen.
Unbekannte Kriminelle haben unter dem Namen CryptoHitman eine neue Version des Verschlüsselungs-Trojaners Jigsaw für Windows in Umlauf gebracht. Opfer beider Versionen können aber aufatmen: Das kostenlose Entschlüsselungs-Tool JigsawDecrypter eines Sicherheitsforschers mit dem Pseudonym DemonSlay335 kann die verschlüsselten Dateien dechiffrieren, berichtet die auf Computer-Sicherheit spezialisierte Nachrichten-Webseite Bleepingcomputer.
CryptoHitman soll sich bei der Verschlüsselung und Lösegeldforderung identisch zu Jigsaw verhalten. Das perfide dabei ist, dass der Erpressungs-Trojaner Opfern ein Ultimatum setzt und nach der Infektion jede Stunde eine Datei löscht. Nach einem Neustart des Computers sollen den Sicherheitsforschern von Bleepingcomputer zufolge jedes Mal 1000 Dateien im digitalen Nirwana verschwinden. Die Kriminellen fordern 0,4 Bitcoin (rund 150 Euro) von ihren Opfern.
VerschlĂĽsselte Dateien versehe CryptoHitman mit der Namenserweiterung .porno. Zudem sei der Sperrbildschirm in Form der Erpesser-Botschaft mit Porno-Bildern versehen.
Erpressungs-Trojaner - Dateien entschlĂĽsseln
Wer von Jigsaw beziehungsweise CryptoHitman betroffen ist, sollte als Erstes die Prozesse %LocalAppData%\Suerdf\suerdf.exe
und %AppData%\Mogfh\mogfh.exe
ĂĽber den Task-Manager beenden. So stoppen Opfer Bleepingcomputer zufolge die VerschlĂĽsselung. AnschlieĂźend kann das kostenlose EntschlĂĽsselungs-Tool JigsawDecrypter (Download) zum Einsatz kommen.
Nach dem Start müssen Opfer lediglich einen Ordner mit verschlüsselten Dateien oder eine ganze Festplatte auswählen. Den Check-Kasten „Verschlüsselte Dateien löschen“ sollte man besser nicht auswählen. Denn falls die Entschlüsselung fehlschlagen sollte, wären die Dateien nicht mehr vorhanden. Gelingt der Vorgang, kann man die chiffrierten Daten von Hand löschen.
Alles was Sie ĂĽber Erpressungs-Trojaner wissen mĂĽssen, fasst c't- und heise-Security-Redakteur Ronald Eikenberg in einem Webinar am Mittwoch, dem 18. Mai, um 11 Uhr zusammen. (des)