El malware Jigsaw, también conocido como "Jigsaw Ransomware", fue identificado por primera vez en abril de 2016. Su nombre deriva del personaje "Jigsaw" de la saga de películas de terror "Saw", y el malware incluso utiliza la imagen del títere de Jigsaw en sus mensajes de ransomware.
Este tipo de malware es categorizado como ransomware debido a su capacidad para cifrar archivos en un sistema infectado y luego exigir un rescate (normalmente en Bitcoin) a cambio de la clave de descifrado. Lo que hace singular a Jigsaw es su comportamiento particularmente intimidante y agresivo.
Jigsaw se propagó principalmente a través de técnicas de ingeniería social, como correos electrónicos de phishing y sitios web maliciosos. Los métodos de infección comunes incluían:
Correo Electrónico de Phishing: El malware se difundía mediante correos electrónicos que contenían archivos adjuntos maliciosos o enlaces a sitios web comprometidos. Al descargar y ejecutar estos archivos, se activaba la infección.
Descargas desde Sitios Web: En ocasiones, los usuarios podían descargar sin saberlo el ransomware desde sitios web comprometidos o falsos que ofrecían software, actualizaciones, o archivos multimedia supuestamente legítimos.
Una vez que el malware Jigsaw infectaba un sistema, procedía a cifrar los archivos de la víctima utilizando un algoritmo de cifrado específico (a menudo AES). El ransomware seleccionaba archivos importantes y de uso frecuente, incluyendo documentos, imágenes, música y videos.
Tras el cifrado, Jigsaw mostraba una pantalla de rescate que contenía la imagen del títere Jigsaw y un mensaje intimidante. El mensaje solía contener las siguientes características:
Monto del Rescate: El usuario era informado de la cantidad de Bitcoins que debía pagar para recuperar sus archivos.
Temporizador: Jigsaw incluía un temporizador que contaba el tiempo restante antes de que los archivos comenzaran a eliminarse permanentemente.
Eliminación Progresiva de Archivos: Lo que diferenciaba a Jigsaw de otros ransomware era su escalada de agresividad. Si el usuario no pagaba el rescate dentro de una hora, el malware comenzaba a eliminar archivos de manera progresiva cada hora, aumentando la cantidad de archivos eliminados a medida que pasaba el tiempo.
Reinicios: Si el usuario intentaba reiniciar su computadora, Jigsaw eliminaba una cierta cantidad de archivos adicionales como castigo.
Para protegerse de infecciones ransomware como Jigsaw, es fundamental seguir algunas mejores prácticas en seguridad informática :
Copias de Seguridad: Mantener copias de seguridad regulares y actualizadas de todos los datos importantes, y almacenarlas en ubicaciones desconectadas de la red principal.
Software de Seguridad: Utilizar soluciones de seguridad robustas que incluyan antivirus, antimalware y firewalls.
Actualización de Software: Mantener el sistema operativo y todo el software actualizado con los últimos parches de seguridad.
Educación en Seguridad: Capacitar a los empleados y usuarios sobre los riesgos asociados con el phishing y cómo identificar correos electrónicos sospechosos.
Segmentación de Redes: Implementar segmentación de redes para limitar la propagación de ransomware y contener infecciones.
Si un sistema se infecta con Jigsaw ransomware, existen algunas herramientas y pasos que pueden ayudar:
Herramientas de Desencriptación: Varias herramientas de desencriptación específicas para Jigsaw han sido desarrolladas por expertos en seguridad y están disponibles en línea de manera gratuita. Estas herramientas pueden revertir el cifrado sin necesidad de pagar el rescate, siempre y cuando se apliquen correctamente y el malware no haya sido actualizado con un nuevo algoritmo de cifrado.
Eliminar el Malware: Antes de intentar la desencriptación, es crucial eliminar el malware del sistema. Se puede hacer utilizando software antivirus o antimalware actualizado.
Recuperar Desde Copias de Seguridad: Si existen copias de seguridad actualizadas, es posible restaurar los archivos desde allí después de eliminar el malware.
En resumen, Jigsaw es un ejemplo aterrador de cómo los atacantes utilizan tácticas de miedo y coacción para extorsionar a los usuarios. La prevención y la preparación son las mejores defensas contra este tipo de amenazas.