Hintermänner der Erpressersoftware Jigsaw bieten Opfern Chat-Support an

CyberkriminalitätSicherheit
jigsaw (Screenshot: Trend Micro)

Über ein Live-Chat-Modul übermitteln die Cyberkriminellen Informationen zu Bitcoin-Wechseloptionen. In einigen Fällen gewähren sie sogar Rabatte. Trend Micro rät dennoch, keinesfalls den Forderungen nachzugeben – egal, wie menschlich sich die Erpresser auch geben mögen.

Über eine neu entdeckte Erpressersoftware-Variante namens Jigsaw geben Cyberkriminelle neuerdings Bezahlinstruktionen per Live-Chat und suchen somit den direkten Kontakt zu ihren Opfern. Betroffenen wird es sogar ermöglicht, per Live-Chat Fragen zu den Forderungen zu stellen, wie Trend Micro berichtet. Es handle sich aber nicht um ein selbst entworfenes Chatmodul; vielmehr hätten die Hintermänner den Client offenbar von onWebChat übernommen.

jigsaw (Screenshot: Trend Micro)
Jigsaw verlangt einen Betrag von 150 Dollar in Bitcoins (Screenshot: Trend Micro)

Gleichzeitig warnen die Sicherheitsexperten vor einer Viktimisierung: Auch wenn sich der Chat-Gesprächspartner menschlich gebe und sogar einen Rabatt von 25 Dollar offeriere, solle man sich als Opfer nicht zur Empathie verleiten lassen, schreibt Trend Micro weiter. Anhand eines Backups könne man die Daten wiederherstellen, ohne zu zahlen.

Interessant sei auch, dass der “Servicemitarbeiter” im Chat nicht wisse, wann ein Nutzer infiziert wurde, sondern sich auf dessen Angaben verlassen müsse, wenn er über Rabatte verhandle. Das Lösegeld erhöht sich nämlich eigentlich alle 24 Stunden. Immerhin können die Chat-Ansprechpartner Neulingen erklären, wie diese einfach an Bitcoins gelangen können.

Jigsaw war erstmals im April entdeckt worden. Es terrorisiert Opfer durch drastische Maßnahmen. So werden jedesmal, wenn ein Timer die Minuten von 60 auf 0 herunterzählt, zufällige Dateien vom Rechner gelöscht. Und fährt der Betroffene seinen Rechner herunter, reagiert das Schadprogramm damit, dass es gleich 1000 Dateien auf einmal löscht.

jigsawchat (Screenshot: Trend Micro)
Jigsaw chattet (Screenshot: Trend Micro)

Jigsaw verschlüsselt insgesamt 240 Dateitypen, die es an der Endung erkennt, mit dem AES-Standard. Die Ransomware selbst verwendet dabei so “witzige” Dateiendungen wie .FUN, .KKK, .GWS und .BTC. Gegen Zahlung von zunächst typischerweise 150 Dollar verspricht es einen Schlüssel, um das System in seinen ursprünglichen Zustand zurückzuversetzen.

Als es Sicherheitsexperten gelungen war, ein kostenloses Entschlüsselungstool für Jigsaw zu schreiben, reagierten die Kriminellen mit diversen Änderungen. So benannten sie die Malware in CryptoHitman um, entwickelten einen neuen Sperrbildschirm und wechselten zur Dateiendung .PORNO für verschlüsselte Dateien. Nachdem das einmal bemerkt wurde, war es aber ein Leichtes, auch das Dechiffrierwerkzeug entsprechend zu modifizieren. Der Decryptor ist im Falle der Chat-Variante von Jigsaw laut Trend Micro in der Lage, “einige” Dateien zu entschlüsseln.

Nutzer sollten grundsätzlich Klicks auf Anhänge in nicht angeforderten E-Mails vermeiden, um nicht Opfer von Erpressersoftware zu werden. Darüber hinaus empfiehlt sich der Einsatz einer aktuellen Sicherheitslösung. Regelmäßige Backups ermöglichen im Notfall eine Wiederherstellung des Systems. Aktuell warnt Trend-Micro-Mitarbeiter Udo Schneider – wie schon zahlreiche Experten vor ihm – dass man Lösegeld prinzipiell nicht bezahlen solle, da dies die kriminellen Aktivitäten fördere und die nächste Generation an Schadprogrammen finanziere.

Jigsaw ist jedoch nicht der erste Fall, bei dem sich zeigt, wie gut die Support-Infrastrukturen von Ransomware-Kriminellen ausgebaut sind. Im Februar sorgte beispielsweise schon die Erpressersoftware “PadCrypt” für Schlagzeilen. Diese bot ihren Opfern über ein eingebautes Live-Support-Chatfenster ebenfalls an, den für Betroffene oftmals verwirrenden Zahlungsprozess des Lösegeldes mithilfe von kriminellen Ansprechpartnern aufzuklären. Weiterhin boten die Kriminellen erstmals auch eine Deinstallations-Routine der eigenen Malware an.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen