Крипто-валута БитЦоин. Форбес
Серија злонамерних напада откупнине извршена је на рачунарским системима 2016. Слагалица Рансомваре први пут је откривена 11. септембратхаприла 2016. и утврђено је да првенствено утиче на Виндовс системе. Рансомваре је такође понудио онВебЦхат адреса клијента за четовање како би омогућила људима на крају рансомваре-а да воде кориснике при плаћању биткоина. Клијент за ћаскање био је јавно доступан сервис шифрован ССЛ / ТЛС-ом, па је одређивање људи на другом крају ћаскања био тежак задатак. Чини се сада да се Јигсав Рансомваре вратио и стигао је по истој цени, ваш битцоин, али са новом и побољшаном тактиком да бисте га добили.
БитцоинБлацкмаилер Рансомваре је дизајниран 2016. године и послат је првенствено путем е-поште која се закачи за њихове прилоге како би компромитовала корисничке податке. Једном када се прилог преузме, рансомваре ће преузети систем домаћина и шифрирати све његове датотеке као и све главне опције за покретање или враћање система. Убрзо након што је овај напад завршен, искачући прозор ће преузети екран на којем је Билли Лутка у Пила из Јигсав теме (отуда и преименовање вируса у Јигсав Рансомваре), а на екрану ће се приказивати сат одбројавања са роковима и задацима даје се корисницима. Ако откупнина не буде плаћена у року од првог сата, једна датотека би била уништена из система; ако би прошао још један сат, већа количина би била уништена. Овај образац би повећавао број датотека о којима је реч сваког сата док се читав рачунар не би избрисао за 72 сата. Поред тога, ако би се покушало покренути или обновити рачунар, рансомваре би избрисао 1000 датотека и и даље се вратио као активан дајући сатне иницијативе за остало. Даља побољшана верзија овог малвера такође је могла да открије приватне информације које корисник не би желео да буду јавне и запрети да ће то учинити ако откупнина не буде плаћена. Голе или неприкладне фотографије, приватни видео записи и још много тога били су у игри јер је жртва ризиковала да буде докирана на мрежи. Само је откупнина могла да спречи да се ово догоди, а само је откупнина могла да дешифрује и врати преостале датотеке у систему.
Снимак екрана скочног прозора Јигсав Рансомваре. Уклоните вирус малвера
Према а извештај о безбедности објавио Нортон Симантец, пронађено је да је рансомваре креирао директоријум „% АппДата% Систем32Ворк др“, а затим креирао датотеке „% АппДата% Фрфк фирефок.еке“, „% АппДата% Дрпбк дрпбк.еке“ , „% АппДата% Систем32Ворк ЕнцриптедФилеЛист.ткт“ и „% АппДата% Систем32Ворк Аддресс.ткт“. Да би се осигурало да ће се рансомваре наставити сваки пут када се рачунар поново покрене, осим ако се протокол не заврши на самом рансомваре-у, створен је овај унос у регистру: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Виндовс ЦуррентВерсион Рун “фирефок.еке” = “% АппДата% Фрфк фирефок.еке ”. Утврђено је да рансомваре шифрира 122 различите екстензије датотека и додаје „.фун“ на њихове крајеве. Није било начина да се уклони овај озлоглашени рансомваре, а неколико водича за ублажавање које су антивирусне и заштитарске компаније објавиле на мрежи, сугерисало је да корисници надограде своје безбедносне дефиниције и праксе знатно пре него што ризикују могућност заразе.
Пренаменски Јигсав рансомваре који се појавио далеко је мање уочљив и ради иза кулиса да преусмери преносе биткоина корисника на адресе новчаника хакера стварањем сличних адресара који наводе корисника да верује да он / она преноси битцоин на своју / њену намењени корисник. Кроз овај рансомваре је украдено 8,4 биткоина, што је 61 000 УСД, украдено је као Фортинет извештава, али упркос овом успеху хакера, чини се да се код који се овај пут користио користи из отворених база података и да је далеко мање углађен од оригиналног рансомваре-а из 2016. То наводи истраживаче да верују да два напада нису повезан и да је потоњи злочин копирања заснован на истим основним принципима крађе крипто валута.
