Administrador De Red

¿Qué es Jigsaw Ransomware y cómo protegerse contra él?

¿Qué es el ransomware Jigsaw y cómo protegerse contra él?



En marzo de 2016,Rompecabezaspresentó el Billy el títere personaje de la película de terror Sierra en su página de demanda de rescate

Aunque infundió miedo en empresas de todo el mundo, este terror resultó ser falible porque estaba escrito en . NETO, y su código podría leerse para descubrir cómo descifrar archivos en lugar de pagar el rescate.



A pesar de su debilidad en materia de seguridad, es necesario proteger a Jigsaw. Aunque actualmente no está alborotado, Jigsaw tiene la costumbre de resucitar de entre los muertos, por lo que aún podría regresar y asustar a su administrador de red.

Acerca del ransomware Jigsaw

El ransomware Jigsaw también se conocía como Bitcoinchantajista . Sólo ataca a ordenadores que ejecutan el sistema operativo Windows. Cuando se detecta malware por primera vez, a cada laboratorio de investigación de ciberseguridad se le ocurre un nombre. Mientras que algunos, al enterarse de que otros laboratorios nombran un virus, aceptarán ese nombre, otros, al identificar el nuevo malware casi simultáneamente, propondrán su palabra. Por lo tanto, algunos programas maliciosos se conocen por varios caracteres, y este es el caso de Jigsaw/BicoinBlackmailer.



Jigsaw fue el principal protagonista de la Sierra franquicia de terror. Así era el personaje de Jim Kramer, un asesino en serie, apodado el asesino del rompecabezas . En el período previo a un asesinato, Jigsaw atrapó a sus víctimas y luego se burló de ellas con tareas que prometían salvarles la vida. Las instrucciones para estas tareas fueron entregadas a través de monitores de televisión por un títere llamado Porra . Una imagen de esta marioneta aparece en la demanda de rescate del malware, que inspiró su nombre.

El nombre Jigsaw no aparecía en la pantalla de las versiones anteriores. Sin embargo, a medida que pasaron los meses, se lanzaron nuevas variantes y los escritores adoptaron el nombre de Jigsaw.

¿Qué hace el ransomware Jigsaw?

Jigsaw ingresa a un sistema a través de Correo basura . También se pueden encontrar variantes del ransomware en adware y en descargas de sitios porno. El archivo adjunto o descarga incluye el instalador de Jigsaw y se activará una vez que se abra el archivo.

Jigsaw oculta su existencia adoptando el nombre firefox.exe o drpbx.exe. El código para el virus de cifrado se encuentra en %UserProfile%AppDataRoamingFrfxfirefox.exe, y escribe un comando de inicio para sí mismo en la lista de procesos de inicio.

El ransomware cifra todos los archivos de datos en la computadora infectada, además de su Registro de arranque principal . Usa AES cifrado. También garantiza que se inicie con la computadora. El cifrado comienza inmediatamente una vez que se ha instalado el programa. Afortunadamente, Jigsaw no se mueve lateralmente por una red. Solo cifra los archivos en el dispositivo en el que se han descargado. El sistema no cifra ejecutables .

La pantalla de rescate aparece una vez que se ha completado el proceso de cifrado. Esto incluye una cuenta regresiva por una hora; cuando llega a cero, se elimina un archivo . La pantalla consta de un botón que, cuando se presiona, muestra un archivo de texto que enumera todos los archivos cifrados.

El rescate por la clave de descifrado es el equivalente en Bitcoin de 150 dólares. Para motivar a la víctima, Jigsaw elimina un archivo después de una hora . Luego realiza un ciclo de eliminación cada hora, eliminando una cantidad cada vez mayor de archivos con cada acción. Si el pago no se realiza 72 horas Después de que aparezca el mensaje inicial, el ransomware borrará toda la computadora.

Reiniciar la computadora es una mala idea porque el ransomware se iniciará nuevamente y eliminar 1.000 archivos Como un castigo. La advertencia de rescate también indica que se eliminarán 1000 archivos si el usuario intenta finalizar el proceso de ejecución del malware. Sin embargo, esto resultó ser falso , lo que hace que sea muy fácil derrotar al programa.

Muchos analistas de ciberseguridad concluyeron que Jigsaw era producto de aficionados , quizás adolescentes con un rendimiento excesivo, porque no estuvo muy bien planificado. La facilidad con la que los investigadores pudieron detectar el proceso y detenerlo demostró que los piratas informáticos no tenían mucha experiencia en la creación de malware. Esto lleva a la conclusión de que el sistema Jigsaw fue más un desafío que una amenaza.

Pagar el rescate por el ransomware Jigsaw

La pantalla de rescate muestra el identificador de una billetera bitcoin . Se supone que la víctima debe comprar los Bitcoin exigidos y asignarlos a esa billetera.

La pantalla también incluye un botón que la víctima debe pulsar una vez realizado el pago. Luego, el sistema verifica la cuenta para detectar el depósito y, si lo detecta, lo actualizar el programa para descifrar todos los archivos y luego eliminar todos los componentes del ransomware, devolviendo la computadora a su estado original.

Variantes de rompecabezas

Habia muchos variantes de rompecabezas , cada uno indicado por una pantalla de rescate diferente, una extensión diferente utilizada para archivos cifrados y diferentes métodos de ingreso. El monto del rescate también cambió con cada versión. La primera encarnación pedía 150 dólares, pero las demandas de las variantes posteriores oscilaban entre 10 y 380 dólares. El rompecabezas original agregó el .divertido extensión y los desarrolladores utilizaron inicialmente este nombre para el ransomware.

Las versiones más nuevas del malware Jigsaw fueron adaptaciones para cambiar el idioma de la pantalla de demanda, refinamientos del código, cambios en el diseño de la pantalla del ransomware o ransomware con un nombre diferente que era casi idéntico al Jigsaw original.

Algunas variantes utilizadas una dirección de correo electrónico de contacto como extensión de archivo cifrado con varias direcciones diferentes empleadas. Esto podría implicar que muchas de las variantes fueron adaptadas por otras personas que habían adquirido el código Jigsaw.

Recuperarse del ransomware Jigsaw

Los analistas de ciberseguridad descubrieron muy rápidamente que el ransomware Jigsaw y todas sus variantes podrían ser fácilmente derrotado . Aunque la pantalla de rescate indica que se eliminarán 1000 archivos si el usuario intenta detener el proceso, ese no es el caso.

Siga estos pasos para recuperarse de Jigsaw de forma gratuita:

  1. Abre elAdministrador de tareasy matar dos procesos. Estos sonFirefoxybuzón. La variante que tiene puede usar uno o ambos. Si no detecta ambos, no se preocupe. Solo asegúrate de que ninguno se esté ejecutando.
  2. Abre elPuesta en marchapestaña en el Administrador de tareas y deshabilite las entradas de Firefox y/o Dropbox allí.
  3. Descargue CheckPoint Jigsaw Puzzle Solver haciendo clic aquí . Descomprima el archivo JPS.zip.
  4. Vaya al directorio que descomprimió y haga clic derecho en elJPS.exearchivo—seleccionarEjecutar como administrador.
  5. Siga las instrucciones en Jigsaw Puzzle Solver.

La utilidad Check Point engaña al programa Jigsaw le hace pensar que se ha pagado el rescate, por lo que inicia todos sus procesos de reparación y descifra todos los archivos. También limpiará eliminando todos los elementos del ransomware Jigsaw de la computadora.

Dos características de Jigsaw hacen que sea fácil de manejar. En primer lugar, sólo infecta. una computadora a la vez; no se replica en la red. En segundo lugar, se dispara inmediatamente después de que se haya instalado en una computadora, por lo que no tiene que preocuparse de que pueda haber copias inactivas en cualquiera de sus computadoras.

Protección contra el ransomware Jigsaw

Jigsaw no ha vuelto a aparecer desde hace bastante tiempo. Sin embargo, los creadores fueron nunca arrestado, por lo que todavía están disponibles y podrían relanzar una campaña en cualquier momento. Aunque existe una solución fácil disponible para revertir el cifrado, estos piratas informáticos confían en el hecho de que algunas personas atacadas lo harán. pánico y pagar el rescate lo más rápido posible sin buscar una solución gratuita.

Los hackers detrás de Jigsaw fueron nunca identificado . Ni siquiera se descubrió en qué país operan. Hay muchas investigaciones publicadas en la Web que explican las debilidades de Jigsaw, y es muy probable que los piratas informáticos hayan leído todos esos análisis. Podrían estar ahí fuera ahora mismo. endurecimiento su ransomware para que sea más difícil de derrotar.

El usuario de la computadora descarga el ransomware Jigsaw. Por lo tanto, la protección esencial contra futuros ataques de este y cualquier otro ransomware es educar a la comunidad de usuarios sobre la descarga de archivos adjuntos en correos electrónicos de fuentes desconocidas. También es una buena idea imponer sanciones a los usuarios para evitar que descarguen software no autorizado en las computadoras de la empresa.

También deberías tener inteligencia software de ciberseguridad instalado en todos los puntos finales e invertir en software de monitoreo de seguridad.

Las mejores herramientas de defensa contra el ransomware Jigsaw

Como las computadoras de escritorio son las más vulnerables al ransomware Jigsaw, es necesario obtener una detección y respuesta de endpoints suite (EDR) para proteger todos sus puntos finales. Si está atado a un estándar de privacidad de datos, como HIPAA , PCI DSS , o RGPD , debes tener un software de seguridad para defender los datos confidenciales de cualquier ataque.

Los sistemas EDR han evolucionado a partir de los sistemas antivirus originales. Mientras que los antivirus buscan archivos o procesos que se ejecutan en una computadora en una lista de malware conocido, los EDR son más sofisticados. Se necesita tiempo para que los laboratorios de investigación de ciberseguridad detecten el nuevo malware, lo investiguen y produzcan una solución. Durante ese periodo, muchos ordenadores podrían verse infectados por lo que se llama “ ataques de día cero .” Los sistemas EDR modernos no dependen de una lista negra. En cambio, buscan comportamiento inusual .

Un sistema EDR sólido comparte información sobre ataques entre clientes. Esto elimina los laboratorios de investigación al aunar experiencias, de modo que tan pronto como se implemente un EDR un nuevo virus en el sitio de un cliente, todas las demás instancias de ese EDR que operan en el mundo lo saben.

A continuación se muestran dos ejemplos del tipo de software de protección que necesitará para protegerse contra Jigsaw y cualquier otro ransomware.

1. CrowdStrike Falcon Insight (PRUEBA GRATUITA)

Información sobre el halcón de CrowdStrike

Información sobre el halcón de CrowdStrike es un EDR coordinado para toda la empresa. Incluye módulos instalados en todos los puntos finales más un controlador central basado en la nube. Los agentes de punto final son implementaciones de un sistema antivirus independiente de próxima generación comercializado por CrowdStrike. Se llama Halcón prevenir .

Los agentes de punto final están completamente autónomo y continuará funcionando si la computadora se desconecta de la red y no puede comunicarse con el controlador Insight. Normalmente, este módulo monitorea el punto final y carga datos de eventos al sistema en la nube Insight para su análisis. El sistema en la nube también recibe inteligencia de amenazas automatizada de la comunidad de usuarios de Insight.

El agente de punto final busca actividad anormal y puede implementar acciones inmediatas si lo detecta. Las instrucciones para las respuestas también provienen del sistema Insight. El servicio puede finalizar procesos, eliminar archivos, aislar el dispositivo de la red, suspender cuentas de usuario y bloquear la comunicación con direcciones IP sospechosas. Todas estas acciones son adecuadas para lidiar con Jigsaw.

Las capacidades de Falcon Insight brindan protección contra ataques de día cero así como una lista de malware conocido. Las funciones de coordinación del módulo de nube Insight significan que tan pronto como un punto final es atacado, todos los demás agentes del punto final se ponen en alerta.

Puedes conseguir unPrueba gratuita de 15 díasde Falcón Prevent.

CrowdStrike Falcon Insight comienza una prueba GRATUITA de 15 días

dos. GestionarEngine DataSecurity Plus

GestionarEngine DataSecurity Plus

GestionarEngine DataSecurity Plus es un sistema para proteger datos sensibles. Este paquete fue diseñado para ayudar a las empresas que deben cumplir con un estándar de privacidad de datos, como HIPAA, PCI DSS y GDPR. Los sistemas de protección de datos deben garantizar que los datos no resulten dañados o sean inexactos y mantener su disponibilidad para un uso adecuado. Algunos ataques de malware tienen como objetivo robar y luego vender o publicar. información de identificación personal (PII).

DataSecurity Plus localiza y categoriza datos sensibles y luego lo protege. El sistema implementa un monitoreo de la integridad de los archivos, que alerta sobre cambios no autorizados en los archivos o movimientos no autorizados. Los monitores de servicio correos electrónicos y dispositivos USB para bloquear descargas y evitar la divulgación de datos.

El servicio de seguridad protege los sistemas Windows, que son el objetivo de Jigsaw y la mayoría de los demás ransomware. El paquete presenta opciones a los administradores para configurar respuestas automatizadas a los ataques detectados.

El software para ManageEngine DataSecurity Plus se instala en Servidor de windows, y esta disponible para una prueba gratuita de 30 días .

^