Ερευνητές ασφαλείας της Check Point ανακοίνωσαν το Σαββατοκύριακο ότι εντόπισαν έναν τρόπο για να αποκρυπτογραφήσουν τα αρχεία που είναι κλειδωμένα από το Jigsaw ransomware, τόσο στις νέες όσο και στις παλαιότερες εκδόσεις.
Το Jigsaw εμφανίστηκε τον περασμένο Απρίλιο και έχει γίνει ήδη διάσημο, επειδή διέγραφε τα αρχεία από τον υπολογιστή του χρήστη, καθώς πέρναγε ο χρόνος χωρίς να έχουν πληρωθεί τα λύτρα. Επιπλέον, όταν γινόταν επανεκκίνηση του υπολογιστή διέγραφε και άλλα 1.000 αρχεία.
Οι ερευνητές δημιούργησαν ένα δωρεάν Decrypter όταν το ransomware πρωτοεμφανίστηκε, αλλά σταμάτησε να λειτουργεί μετά από συνεχόμενες ενημερώσεις, τις οποίες δεχόταν το ransomware σε τακτική βάση. Το Jigsaw είναι στην πραγματικότητα μια από τις πιο σύγχρονες παραλλαγές ransomware αυτή τη στιγμή, με νέες εκδόσεις να βγαίνουν σχεδόν σε εβδομαδιαία βάση.
Η ομάδα της Check Point υποστηρίζει ότι έχει εντοπίσει μια αδυναμία –όχι κατά τη διαδικασία κρυπτογράφησης, αλλά στο πώς το εν λόγω ransomware χειρίζεται την πληρωμή των λύτρων.
Ενώ οι άλλες ransomware οικογένειες χρησιμοποιούν μια Tor-based ιστοσελίδα για να χειρίζονται τις πληρωμές, το Jigsaw εκτυπώνει μόνο μια Bitcoin wallet διεύθυνση στον υπολογιστή του θύματος μέσω ενός ειδικού σημειώματος για λύτρα και λέει στους χρήστες να πατήσουν το “I made a payment, now give me back my files! (Πλήρωσα, τώρα δώστε μου πίσω τα αρχεία μου!) ” κουμπί, αφού κάνουν την πληρωμή.
Πατώντας αυτό το κουμπί ξεκινάει ένα αίτημα από τον υπολογιστή του χρήστη σε ένα online API που ελέγχει αν η πληρωμή έγινε δεκτή στο συγκεκριμένο Bitcoin wallet.
Υπάρχει ένας λόγος που οι περισσότερες ransomware οικογένειες χειρίζονται τις πληρωμές στις δικές τους ιστοσελίδες και αυτό γιατί οι χρήστες μπορούν να παρέμβουν στις απαντήσεις που επιστρέφουν από το API.
Η Check Point δημιούργησε ένα εργαλείο που παρεμβαίνει και μιμείται μια θετική API απάντηση. Το εργαλείο δίνει στο ransomware αυτή την ψεύτικη API απάντηση και αυτό πιστεύει ότι η πληρωμή έγινε, ξεκινώντας τη διαδικασία αποκρυπτογράφησης που τελειώνει με το Jigsaw να ξεκλειδώνει όλα τα κρυπτογραφημένα αρχεία και διαγράφοντας τον εαυτό του από το μολυσμένο σύστημα.
Το εργαλείο, το οποίο λειτουργεί με τις νεότερες και παλαιότερες εκδόσεις του Jigsaw, μπορείτε να το κατεβάσετε δωρεάν, και παρακάτω βρίσκονται οι οδηγίες της Check Point για τη χρήση του:
Αυτό το τρικ αποκρυπτογράφησης φαίνεται να είχε αρχικά ανακαλυφθεί από τον Peter Kleissner, ο οποίος έγραψε γι’ αυτό στο Twitter την περασμένη εβδομάδα.
Εγχειρίδιο χρήστη:
[su_note note_color=”#cdd9cc” radius=”7″]1. Ανοίξτε και βγάλτε το αρχείο JPS.zip.
2. Στο φάκελο Jigsaw Puzzle Solver, κάντε δεξί κλικ στο «JPS.exe» και κάντε κλικ στο «run as administrator (Εκτέλεση ως διαχειριστής)».
3. Ακολουθήστε τις οδηγίες που εμφανίζονται στην οθόνη.[/su_note]
