Digitalmania – Sebuah varian ransomware baru terungkap dan telah dirilis baru-baru ini dan disebut sebagai Jigsaw, yang mengancam dan menghapus file user jika tebusan tidak dibayar pada waktunya atau ketika user reboot komputer.
Nama ransomware Jigsaw tampil setelah karakter ikon yang muncul dalam ransom note, payload Jigsaw diluncurkan untuk mengeksekusi dengan menargetkan 226 jenis file berbeda, mengenkripsi semua konten dengan algoritma AES dan menambahkan ekstensi .FUN di akhir nama setiap file.
Ransomware Jigsaw lebih ganas dari sejenisnya, ia akan menghapus file setiap jam sekali, sejak infeksi pertama kali dimulai sampai korban membayar uang tebusan. Ransomware Jigsaw akan menghapus file pada komputer Anda dan menaikan counter. Seiring waktu, counter ini akan menyebabkan lebih dari satu file akan dihapus setiap jam dan lebih berbahaya lagi adalah apabila komputer di restart maka 1000 file akan dihapus oleh Jigsaw, karena itu jangan pernah restart komputer Anda jika terinfeksi.
Ini bukan pertama kalinya kita melihat ransomware mengancam untuk menghapus file, tapi ini adalah pertama kalinya salah satu dari mereka benar-benar melakukan ancaman tersebut. Proses ini sangat merusak dan jelas yang digunakan untuk menekan korban untuk membayar uang tebusan. Pengembang Jigsaw seperti ingin memberi pesan bahwa mereka tidak main-main, yang mereka butuhkan adalah hanya uang, dan data korban tak penting sama sekali kecuali memang menghasilkan sesuatu untuk mereka.
Makin terus bertambahnya ransomware yang aktif di dunia maya, menimbulkan rasa keprihatinan seperti apa yang disampaikan oleh Yudhi Kukuh, Technical Consultant PT. Prosperita – ESET Indonesia saat ditemui di kantornya mengatakan “Kuping kita mungkin sudah pekak setiap mendengar kata ransomware saat ada masalah yang muncul di dunia TI, ini memang tidak bisa dipungkiri jika ransomware memang telah menjadi senjata andalan bagi penjahat dunia maya untuk mencari keuntungan, Jigsaw yang baru saja muncul, terlihat lebih sadis daripada ransomware lain dengan menghapus file korban tanpa pandang bulu, dari cara kerja Jigsaw kita semakin menyadari bahwa ransomware dari waktu ke waktu bertambah ganas dari sebelumnya. Mereka memberikan tekanan mental kepada korban dengan memberi batas waktu dan counter setiap jam. Jalan keluarnya adalah dengan membangun terus kesadaran user dalam menerapkan tindakan pencegahan yang tepat, sebagai jalan terbaik dalam menghadapi ransomware jenis apapun, tapi untuk Jigsaw ada kabar baik untuk semua user, bahwa telah ditemukan metode yang memungkinkan korban untuk mendapat dekripsi dengan cuma-cuma.”
Cara mendekripsi dan menghapus ransomware Jigsaw
Patut disyukuri bahwa melalui analisis mendalam akhirnya ditemukan bagaimana cara untuk mendekripsi ransomware ini. Untuk mendekripsi file, yang harus dilakukan adalah dengan mematikan proses firefox.exe dan drpbx.exe dalam Task Manager untuk mencegah file dihapus lebih lanjut. Kemudian jalankan MSConfig dan nonaktifkan startup entry yang disebut firefox.exe yang merujuk ke eksekusi %UserProfile%\AppData\Roaming\Frfx\firefox.exe.
Setelah ransomware dihentikan dan startup dinonaktifkan, berikutnya adalah mendekripsi file dengan mengunduh dan mengekstrasi Decryptor Jigsaw dari URL berikut:
https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip
Kemudian klik dua kali pada file JigSawDecrypter.exe untuk meluncurkan program. Ketika program dijalankan, Anda akan disambut dengan layar yang sama seperti yang tampak dibawah.
Untuk mendekripsi file, Anda cukup pilih direktori dan klik tombol Decrypt My Files. Jika ingin mendekripsi seluruh drive, Anda harus memilih drive C:, disarankan bahwa Anda tidak memberi tanda centang pada opsi Delete Encrypted Files sampai Anda mengkonfirmasi bahwa tool tersebut telah berhasil mendekripsi file.
Setelah file yang dienkripsi berhasil diselamatkan melalui dekripsi, maka segera jalankan program antivirus atau anti malware untuk memindai komputer untuk melihat masih adakah kemungkinan infeksi.
Rincian Teknis Ransomware Jigsaw
Ketika ransomware Jigsaw mulai beraksi, ia akan memindai drive Anda untuk mencari file tertentu, mengenkripsi mereka menggunakan AES dan menambahkan ekstensi .FUN pada nama file. File yang menjadi target Jigsawa adalah sebagai berikut:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar
Ketika mengenkripsi file, ia akan menambahkan nama file kedalam daftar file terenkripsi terletak di %\AppData\Roaming\System32Work\EncryptedFileList.txt. Ia juga akan menetapkan alamat bitcoin untuk pembayaran uang tebusan dan menyimpannya dalam file %UserProfile%\AppData\Roaming\System32Work\Address.txt.
Sampai sini Jigsaw akan mengatur autorun yang memulai ransomware setiap kali Anda login ke Windows. Dan setiap kali melakukannya, ia akan menghapus 1.000 file dari file terenkripsi.
Dalam ransom note ada timer dengan jarak waktu 60 menit dan menghitung mundur ke 0. Ketika mencapai 0, Jigsaw akan menghapus sejumlah file tergantung pada berapa kali counter telah diulang. Setiap kali reset, counter akan meningkat, menyebabkan lebih banyak file yang akan dihapus pada reset berikutnya.
Ketika korban mengirim pembayaran uang tebusan, mereka dapat mengklik tombol check payment. Saat tombol di klik, situs http://btc.blockr.io/ muncul untuk melihat apakah pembayaran telah dilakukan ke alamat bitcoin yang ditetapkan. Jika jumlah botcoin di alamat yang ditetapkan lebih besar dari jumlah pembayaran, maka kemudian file akan didekripsi secara otomatis.
File yang terkait dengan Jigsaw Ransomware
- %UserProfile%\AppData\Roaming\Frfx\
- %UserProfile%\AppData\Roaming\Frfx\firefox.exe
- %UserProfile%\AppData\Local\Drpbx\
- %UserProfile%\AppData\Local\Drpbx\drpbx.exe
- %UserProfile%\AppData\Roaming\System32Work\
- %UserProfile%\AppData\Roaming\System32Work\Address.txt
- %UserProfile%\AppData\Roaming\System32Work\dr
- %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
Entri registry yang terkait dengan Jigsaw Ransomware
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe %UserProfile%\AppData\Roaming\Frfx\firefox.exe