Обнаружен новый локер Jigsaw

Стало известно об атаках нового локера, получившего название Jigsaw – «Пила», в честь главного злодея из одноименного слэшера. От прочих он отличается тем, что не только шифрует файлы на компьютере с целью выкупа, но и действительно удаляет их, если пользователь вовремя не заплатит требуемую сумму в биткоинах. Кроме того, файлы автоматически удаляются каждый раз при перезагрузке – сразу тысяча файлов одним махом. Это первый раз, когда зловред-вымогатель не только угрожает, но и выполняет свои угрозы – а это может весьма эффективно «мотивировать» жертву заплатить выкуп поскорее.

Также вымогатель дает рекомендации, на какой бирже приобретать биткоины, и обещает, что при получении выкупа ключ будет отправлен в течение двух минут. Исследователи пока не знают, каким образом распространяется malware.

Jigsaw сначала сканирует систему в поисках подходящих форматов, а затем применяет AES-шифрование; к файлам добавляется расширение .FUN, .KKK или .BTC. Список зашифрованных файлов сохраняется в текстовый файл, как и адрес биткоин-кошелька. Затем зловред прописывает в системе файл автозапуска, который исполняется всякий раз, когда пользователь загружает систему.

Если пользователь решил заплатить выкуп, после оплаты ему нужно нажать кнопку «Проверить статус платежа». Программа обращается к кошельку и, если количество биткоинов в нем больше, чем сумма платежа, файлы автоматически расшифровываются.

AV-исследователи сработали весьма быстро: они провели за анализом несколько часов и смогли оперативно создать и протестировать дешифратор. Представители MalwareHunterTeam иронизируют, что похоже, основной целью создателей шифровальщика была игра с жертвой, а не деньги.