Новая вымогательская программа Jigsaw осуществляет шифровку файлов и стимулирует жертву как можно скорее заплатить выкуп. Программа удаляет файлы с жесткого диска, пока пользователь не перечислит злоумышленникам деньги.
После того, как троянская программа запущена, она находит на жестком диске инфицированного компьютера файлы 226 разных типов, осуществляет их шифровку, используя алгоритм AES, и меняет их названия, добавляя расширение .fun. Другие варианты Jigsaw применяют расширения .btc, .gws и .kkk.
После того, как шифрование файлов окончено, на экране появится портрет Конструктора из серии фильмов «Пила». Дело в том, что на английском языке этого киноперсонажа звучит как Jigsaw, таким образом создатели назвали в честь него троянскую программу. Вместе с портретом на экране демонстрируется текст, содержащий угрозы и требование заплатить выкуп в размере 0,4 биткоина.
Если пользователь за час не перечислит деньги, то Jigsaw удалит один из зашифрованных файлов. Каждый час программа удаляет все большее количество файлов. Пользователю не следует перезагружать или выключать компьютер, поскольку при повторном включении будет единовременно удалена 1000 файлов.
Специалистами по информационной безопасности Майклом Гиллеспи, Лоуренсом Абрамсом вместе с участниками хакерской группы MalwareHunterTeam была создана программа JigSawDecrypter, которая осуществляет взлом шифрования Jigsaw. Перед тем, как запускать эту программу, пользователь должен остановить процессы drpbx.exe и firefox.exe, за которыми зачастую скрывается Jigsaw.