Ερευνητές ασφαλείας από την Check Point ανακοίνωσαν το Σαββατοκύριακο ότι κατάφεραν να αποκρυπτογραφήσουν το Jigsaw ransomware, στη νέα αλλά και στις παλαιότερες του εκδόσεις.
Το Jigsaw ransomware εμφανίστηκε τον περασμένο Απρίλιο, και διέφερε από τα άλλα γιατί αν το θύμα δεν κατέβαλε τα λύτρα άρχιζε να διαγράφει τα αρχεία από τον υπολογιστή του χρήστη.
Οι ερευνητές κατάφεραν και ανέπτυξαν ένα Decrypter για το Jigsaw ransomware σχεδόν αμέσως μετά την κυκλοφορία του, αλλά σταμάτησε να λειτουργεί μετά από ενημερώσεις στο λογισμικό του ransomware. Να αναφέρουμε ότι το Jigsaw είναι μια από τις πιο ενημερωμένες εκδόσεις ransomware αυτή τη στιγμή, αφού νέες εκδόσεις κυκλοφορούν σχεδόν σε εβδομαδιαία βάση.
Η ομάδα της Check Point υποστηρίζει επίσης ότι εντόπισε μια αδυναμία όχι κατά τη διαδικασία της κρυπτογράφησης, αλλά στο πώς χειρίζεται το κακόβουλο λογισμικό την καταβολή λύτρων.
Ενώ άλλα ransomware χρησιμοποιούν μια ιστοσελίδα του Tor για να διαχειριστούν τις πληρωμές, το Jigsaw εμφανίζει μόνο μια διεύθυνση πληρομών Bitcoin στον υπολογιστή του θύματος με ένα σημείωμα για λύτρα και ζητάει από τους χρήστες να πατήσουν το “Έκανα μια πληρωμή, δώσε πίσω τα αρχεία μου!” αφού φυσικά κάνουν την πληρωμή.
Πατώντας αυτό το κουμπί ξεκινάει ένα αίτημα από τον υπολογιστή του χρήστη σε ένα online API που ελέγχει αν η πληρωμή έγινε δεκτή από τη συγκεκριμένη διεύθυνση Bitcoin.
Η Check Point δημιούργησε ένα εργαλείο που μιμείται μια θετική απάντηση του API. Το εργαλείο δίνει στο Jigsaw μια ψεύτικη απάντηση API και το ransomware πιστεύει ότι η πληρωμή έγινε, ξεκινώντας άμεσα τη διαδικασία αποκρυπτογράφησης που τελειώνει με το ξεκλείδωμα όλων των κρυπτογραφημένων αρχείων και τη διαγραφή του κακόβουλου λογισμικού από το μολυσμένο σύστημα.
Μπορείτε να το κατεβάσετε από το παρακάτω link.
Οδηγίες χρήσης:
1. Ανοίξτε το JPS.zip.
2. Στον φάκελο Jigsaw Puzzle Solver, δεξί click στο ‘JPS.exe’ και ‘run as administrator’.
3. Ακολουθήστε τις οδηγίες.
http://blog.checkpoint.com/files/2016/07/JPS_release.zip