Wer Horrorfilme mag, dem kommt dieser Satz bekannt vor. Er stammt aus dem Film „Saw“ und man verbindet ihn automatisch mit der Puppe, die auf dem Bildschirm erscheint und den Gefangenen jedes Mal dieselbe Frage stellt. Ähnlich ist es mit der neuen Malware „Jigsaw“. Normalerweise verschlüsselt ein Virus wie „Jigsaw“ Dateien und gibt sie wieder frei, sobald ein Lösegeld bezahlt wurde. Doch dieser verschlüsselt die Dateien nicht nur, sondern löscht nach Ablauf jeder Stunde eine. Der Nutzer wird dazu aufgefordert, eine entsprechende Zahlung zu leisten, um das Löschen der Dateien zu stoppen. Weigert man sich zu zahlen, löscht der Virus nach drei Tagen alle verbleibenden Daten. Auch ein Neustart des Rechners sollte hier nicht durchgeführt werden, „Jigsaw“ bestraft diesen Versuch damit, dass direkt 1.000 Dateien gelöscht werden.

Nach einer genaueren Analyse der Software zeigt sich, dass es verschiedene Arten der Malware gibt. Sie variieren teilweise nach Regionen, dem geforderten Lösegeld und besitzen „Zeitzünder“ die den Virus erst nach einiger Zeit aktiv werden lassen. Grade das Lösegeld variiert teils stark, mal sind es 150 Euro, mal nur 20 Euro. Das wirft bei Sicherheitsforschern die Frage auf, ob es den Erpressern in erster Linie tatsächlich um Geld geht oder ob es als ein Test anzusehen ist, um herauszufinden, wie die User dagegen vorgehen und welche Geldbeträge eher gezahlt werden.

Entdeckt wurde der Virus von den IT-Sicherheitsforschern von bleepingcomputer. Diese machten sich auch umgehend daran, ein Tool zu entwickeln, wie man den dreisten Lösegeldforderungen nicht nachgehen muss. Zuerst muss man die Prozesse drpbx.exe und firefox.exe beenden. Firefox muss zudem aus dem Autostart gelöscht werden, damit das Entschlüsselungstool an die Arbeit gehen kann. Hat dies funktioniert, sollten alle Dateien wieder entschlüsselt sein. Wie genau der Virus auf die Rechner gelangt, konnte bisher nicht geklärt werden. Wahrscheinlich ist aber, dass es durch Mailanhänge und Dropboxlinks zur Infektion kommt. Sollten Sie betroffen sein, können Sie hier das entsprechende Programm herunterladen.