据了解, 用户的计算机系统一旦感染了勒索软件Jigsaw,如果用户没有在一个小时之内支付赎金(0.4个比特币,价值约为150美金),那么恶意软件将会把系统中的上千份重要文件全部删除。 根据攻击者的描述,更糟糕的是,如果用户重启了他们的计算机,那么这个勒索软件将会从系统中删除一千个文件。当用户感染了这款勒索软件之后,系统将会显示一张非常恐怖的图片(与电影《电锯惊魂》中的一样),并且还会显示一系列的警告信息。
这一勒索软件会在警告信息的开头写上下面这段话:“我想要和你玩一个游戏,请听我向你解释游戏规则:保存在你计算机中的所有文件已经被删除了。”
但是现在,广大用户似乎可以不用再受这款恶意勒索软件的威胁了。
安全研究人员对这款恶意软件进行了分析和研究,这些安全专家包括MalwareHunterTeam的安全研究人员,以及计算机取证专家Michael Gillespie和Lawrence Abrams。他们组成了一个小型的三人研究小组,并针对这个勒索软件开发出了一款能够免费恢复用户文件的解密工具。
为此,该团队还专门在Abrams的安全博客(BleepingComputer.com)上发布了该工具的使用说明,任何感染了Jigsaw勒索软件的用户都可以按照这篇文章所描述的操作步骤来解锁他们的文件,不仅如此,文中还详细说明了解密文件所需要的一些其他工具。根据Abrams的描述,Jigsaw勒索软件在对用户文件进行加密处理时,使用的是AES加密算法,这种算法是美国联邦政府采用的一种区块加密标准。AES加密算法的基本要求是采用对称分组密码体制,密钥长度的最少支持为128、192、256,分组长度128位,该算法应易于各种硬件和软件实现。AES加密数据块分组长度必须为128比特,密钥长度可以是128比特、192比特、256比特中的任意一个(如果数据块及密钥长度不足时,会自动补齐)。
Abrams在接受Threatpost的采访时表示:“控制这个勒索软件的网络犯罪分子就像在玩弄用户一样,而且还想从用户那里得到金钱。如果受害者没有按时支付赎金,他们声称会将这些文件彻底删除,而事实上他们确实会这样做。”
安全专家们在进行了深入地分析和研究之后,发现Jigsaw勒索软件会对受感染系统中240种带有不同后缀名的文件进行加密,并且在锁定了文件之后,会将被加密文件的后缀名修改为“.FUN”,“.KKK”,“.GWS”,或者是,“.BTC”。文件一旦被加密,犯罪分子便会开始倒数计时,时限为六十分钟。如果攻击者在一个小时之内没有收到相应的赎金,那么Jigsaw勒索软件就会从受感染的系统中删除一个文件。如果两个小时过去了仍然没有受到赎金的话,那么Jigsaw就会再删除两个文件。这也就意味着,每过一个小时,勒索软件所删除的文件数量就会成倍增长。
虽然安全研究专家比这款勒索软件的开发者更加聪明,并且成功找到了破解它的方法,但是这也并不意味着Jigsaw就完全没有杀伤力了。Abrams说到:“大多数感染了Jigsaw勒索软件的用户其实并不知道到底应该去哪里购买比特币。购买比特币的步骤是十分麻烦的,而且有的时候还会花上一整天的时间来学会如何购买。当用户成功购买了比特币之后,系统中的上万份文件可能早就已经消失不见了。”
如果用户感染了Jigsaw,那么可以进入Windows操作系统的任务管理器,并结束firefox.exe和drpbx.exe这两个进程,这样就可以防止系统中的文件被这个恶意软件所删除。
根据安全研究专家的描述,目前尚不清楚到底有多少计算机系统感染了这个勒索软件,而且也不知道有多少用户受到了这个勒索软件的影响。但Abrams表示,目前唯一的线索就是有的用户是通过下载并执行伪造的火狐浏览器安装程序才感染了这个勒索软件的。
除此之外,安全研究人员在本周的早些时候表示,他们已经成功破解了Petya勒索软件,并且还开发出了一款解锁工具,如果用户感染了这个勒索软件,这款解锁工具可以生成一个密钥,在这个密钥的帮助下,用户就可以在十秒钟之内将被加密的文件解锁。
Abrams表示:“现在,勒索软件正在变得越来越流行了。正因为如此,勒索软件的开发人员在开发恶意软件的过程中肯定没有非常充足的时间,偷工减料是避免不了的。而这种现象对于安全研究专家来说,就是一个好消息了。而且我估计,在不久的将来肯定还会出现各种Petya或Jigsaw的变种版本,攻击者很可能会更新勒索软件的加密引擎。”