【视频】Jigsaw勒索软件又有新思路 限时交赎金否则每小时删几个文件72小时全部删除

又出现新的勒索软件了，这次绑匪气质十足，弄个界面给你看，每个小时都在删除文件，72个小时还不交钱（ $150 美元），全部删除。

文字的大致意思如下

您的计算机文件已被加密。你的照片、 视频、 文档等......

但是，不要担心 ！我暂时还不会删除它们。

你有 24 小时用比特币付 150 美元，来获取解密密钥。

每小时都会有文件被删除，每次都会增加删除的数量，72 小时后全部删除。

如果你没有比特币，搜一下这个网站 localbitcoins。

购买 150 美元的比特币或0.4 BTC。随便哪个都行。然后发送到指定的比特币地址。

在收到您的付款的两分钟内，您的计算机将接收的解密密钥并恢复正常。

如果你想玩什么花样，计算机有很多办法干掉您的文件。

早点儿付款，早点儿安心。

谢谢

当受害者发送赎金时，他们可以点击检查付款按钮。当单击此按钮时，勒索查询 http://btc.blockr.io/ 网站，看看是否有款项支付到指定的比特币地址。如果在支付的比特币的金额大于付款金额，它会自动解密文件。

之前大多勒索软件都威胁要删除文件，但眼睛看到威胁过程的这是第一个。 Jigsaw勒索软件每隔 60 分钟并重新启动该程序时，会删除文件。每一小时、 Jigsaw勒索软件将删除您计算机上的文件并增加计数器的值。随着时间的推移，此计数器增加每个小时删除的文件数量。更具破坏性的是，初次感染后，如果你试图重启或者终止它的后台进程，它会一次性删除一千个加密文件。这显然是威胁受害者不要搞花样。

Jigsaw勒索软件如何解密

您对文件进行解密，你应该做的第一件事是终止 firefox.exe 和 drpbx.exe 进程在任务管理器来防止任何进一步的文件被删除。 你应该运行 MSConfig 然后禁用启动条目称为 firefox.exe 指向 %UserProfile%\AppData\Roaming\Frfx\firefox.exe 的可执行文件。

一旦你有终止勒索和禁用其启动，让我们着手解密文件。 第一步是下载并解压缩Jigsaw勒索软件解密器从下面的 URL:

https://www.bleepingcomputer.com/download/jigsaw-decrypter/

然后双击 JigSawDecrypter.exe 文件以启动该程序。

要解密您只需选择的文件的目录，然后单击解密我的文件按钮。如果你想要解密整个驱动器，然后你可以选择 c︰ 驱动器本身。 它被劝你不要不把一个复选标记放在删除加密文件选项，直到您已经确认了该工具可以正确地将解密您的文件。

Jigsaw勒索软件技术分析

Jigsaw勒索软件执行的时候，会扫描如下文件扩展名，并使用 AES加密方法加密你的文件，然后将附加扩展名更改为.FUN, .KKK, .GWS , or , . BTC

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, 
.mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, 
.class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, 
.indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, 
.svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, 
.docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, 
.xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, 
.potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, 
.mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, 
.mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, 
.QBM, .QBI, .QBR  , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, 
.Qba, .Tlg, .Qbx, .Qby  , .1pa, .Qpd, .Txt, .Set, .Iif  , .Nd, .Rtp, .Tlg, 
.Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, 
.Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, 
.Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, 
.Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, 
.Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, 
.Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar  

文件加密之后，会在如下目录下生成一个文件

%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

当然会附上一个比特币地址，保存在如下文件中

%UserProfile%\AppData\Roaming\System32Work\Address.txt

最后，Jigsaw勒索软件设置一个自动运行，以便在每次启动Windows的时候，自动加载它。不幸的是，每次勒索软件启动，都会删除1千个加密文件