Technik
Jigsaw zu stoppen ist gar nicht so schwer.
Jigsaw zu stoppen ist gar nicht so schwer.(Foto: Screenshot Trend Micro/Montage jwa )
Donnerstag, 21. April 2016

Ausweg aus der Erpresserfalle: So macht man "Jigsaw" unschädlich

Der fiese "Jigsaw"-Trojaner verbreitet Angst und Schrecken. Die Erpresser-Software stellt Nutzer vor ein knallhartes Ultimatum. Doch die Netzgemeinde reagiert und zeigt, wie man den Trojaner unschädlich macht. Das Wichtigste: schnell handeln.

"Jigsaw" ist ein neuer Erpresser-Trojaner, der seine Opfer auf ganz besonders perfide Art unter Druck setzt: Wer sich die Ransomware eingefangen hat, wird vor ein Ultimatum erstellt. Die Erpresser fordern ein Lösegeld, zahlbar in Bitcoins. Mit jeder Stunde, die ohne Zahlung verstreicht, verschlüsselt Jigsaw mehr Dateien und löscht die Originale von der Festplatte. Außerdem steigt die geforderte Lösegeldsumme. Nach 72 Stunden ist Schluss, dann sind alle Dateien auf dem Computer verschlüsselt und die Originale gelöscht. "Trend Micro" warnt vor dem Trojaner und empfiehlt zum Schutz eine gute Sicherheitssoftware sowie ein vorsorgliches Daten-Backup, um im Ernstfall den Rechner neu aufsetzen zu können.

Doch es gibt auch einen anderen Weg, Jigsaw unschädlich zu machen und die eigenen Daten wiederherzustellen. Denn die gut gemeinten Ratschläge, sich mit Sicherheitssoftware und Backups im Vorfeld zu schützen, nützen wenig, wenn der Schädling erst einmal auf dem PC ist. Auf Portalen wie "Winfuture" kursieren aber Anleitungen, wie man Jigsaw das Handwerk legt. Im Youtube-Kanal "SemperVideo" findet sich zudem eine kurze und anschauliche Anleitung dazu.

Jigsaw sofort stoppen

Wichtig ist zuerst, die Software schnell zu stoppen. Wenn Jigsaw in Aktion tritt, poppt ein bedrohliches Fenster auf, in dem die Puppe "Billy" aus dem Film "Saw" zu sehen ist, außerdem ein Countdown bis zur Löschung der nächsten Datei und die Zahlungsaufforderung über 150 US-Dollar. Das Fenster legt sich über die Benutzeroberfläche, schließen oder minimieren lässt es sich nicht. Ausschalten sollte man den PC auch nicht, denn dann löscht Jigsaw sofort 1000 Dateien.

Doch das Fenster kann problemlos verkleinert werden, um wieder Zugriff auf den Explorer im Hintergrund zu bekommen - dazu zeigt man mit dem Mauszeiger an den Rand und zieht das Fenster dann ganz schmal. Anschließend startet man den Task Manager (am einfachsten über die Tastenkombination Strg+Alt+Entf), sucht den entsprechenden Prozess und beendet ihn.

Entschlüsselung leicht gemacht

Jigsaw tarnt sich mit dem Prozessnamen "Firefox", die zugehörige Datei heißt "drpbx.exe". Sie liegt im Verzeichnis /Appdata/Local/Drpbx/ des Benutzerordners. Wurde der Prozess beendet, lässt sich der Ordner problemlos löschen. Auch das Verzeichnis /Appdata/Roaming/Frfx/ und die darin enthaltene Firefox.exe muss entfernt werden, da diese sonst bei einem Neustart des PCs Teile der verschlüsselten Daten löscht.  

Wer diese Schritte befolgt, hat Jigsaw unschädlich gemacht. Doch noch gibt es verschlüsselte Dateien auf dem PC mit der Dateiendung .fun. Um diese wieder zu entschlüsseln, brauchen Nutzer den kostenlosen "JigsawDecrypter", eine Software, die Entwickler und Verschlüsselungsexperten entwickelt haben, um den von Jigsaw angerichteten Schaden zu minimieren. Das Programm funktioniert denkbar einfach: Nach dem Start wählt man einfach ein Verzeichnis aus, in dem die verschlüsselten Dateien liegen (man kann hier auch ein ganzes Laufwerk angeben) und klickt anschließend auf "Decrypt my Files". Nun werden alle betroffenen Dateien wieder entschlüsselt - und der Jigsaw-Spuk ist vorbei.  

Quelle: n-tv.de

Empfehlungen