Jigsaw – Le ransomware qui supprime les fichiers si vous ne payez pas la rançon

Si vous connaissez le ransomware qui crypte vos données et vous propose la clé de déchiffrement en échange d’une rançon payable en Bitcoin, vous n’avez peut être pas encore fait la connaissance de Jigsaw.

Ce ransomware, qui tire son nom du personnage du célèbre film d’horreur Saw, risque de faire passer un très mauvais moment à ceux d’entres vous qui surfent sur Internet en cliquant plus vite que leur ombre sans respecter les bonnes pratiques pour ne pas se faire attaquer par un cryptolocker.

En effet après avoir crypté vos documents, photos, vidéos, musiques, etc…, le méchant Jigsaw va supprimer 1 puis plusieurs fichiers toutes les heures jusqu’à ce que vous vous acquittiez de la rançon de 150 $ en Bitcoin. Vous apprécierez dans ce petit Gifs animé, le petit compte à rebours bien sadique et bien stressant. Au bout de 48 heures tous les fichiers sont supprimés, faut pas abuser non plus …

Plus de 120 types de fichiers sont concernés :

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Les fichiers cryptés voient leurs extensions changées en .FUN, .KKK ou encore .BTC. Il suffit de consulter le fichier suivant pour consulter la liste de vos fichiers infectés dans le chemin %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

Comment éradiquer Jigsaw

Les équipes de MalwareHunterTeam, DemonSlay335 et BleepinComputer ont heureusement une solution pour éradiquer et déchiffrer les fichiers cryptés par Jigsaw.

1. Arrêter les processus firefox.exe et drpbx.exe depuis votre gestionnaire de tâches (CTRL + ALT + SUPPR) pour empêcher les suppressions de fichiers.
2. Lancez MSConfig depuis une invite de commande et empêchez le lancement automatique du programme firefox.exe depuis le chemin %UserProfile%\AppData\Roaming\Frfx\firefox.exe
3. Télécharger le déchiffreur mis à disposition par BleepinComputer et suivez les instructions pour déchiffrer vos fichiers.

Votre honneur est sauf, mais sachez que les ransomwares font de plus en plus de ravages chez les particuliers et surtout dans les entreprises ou les utilisateurs ne prennent aucune précaution lorsqu’ils utilisent l’outil informatique. La propagation des ransomwares se fait surtout via la messagerie via des messages qui adoptent les noms d’organismes que vous connaissez et vous invite à ouvrir des pièces jointes … infectées.

Si vous trouvez logique d’ouvrir la pièce jointe d’un message de relance d’une facture envoyée par une banque dont vous n’êtes même pas client alors vous êtes fin prêt à recevoir votre premier ransomware 😉

Sinon pour ne pas être infecté suivez les bonnes pratiques en la matière et tout ira bien.

Source : BleepingComputer