Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Jigsaw – Le ransomware le plus sadique du monde

Ça n’arrête pas en ce moment. Attention, un nouveau ransomware pour Windows vient d’arriver dans la place, mais celui-ci est encore plus cruel que les autres. Son petit nom ? Jigsaw inspiré du personnage du film d’horreur Saw.

En effet, après avoir chiffré tous vos documents, photos, vidéos…etc., Jigsaw s’amuse sadiquement à supprimer vos fichiers toutes les heures. Il commence avec un fichier, puis d’heure en heure, il en supprime de plus en plus. Ainsi, si vous tardez trop à payer les 150 $ réclamés (soit 0,4 Bitcoins), 48h plus tard vous n’aurez plus aucun fichier à sauver.

jigsaw-ransomware

Il ne déconne pas celui-là et s’en prend aux fichiers avec les extensions suivantes :

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Une fois chiffrés, ces derniers se retrouvent avec une extension .FUN, .KKK ou .BTC… notez l’humour bon enfant de tout ça. Une fois l’un de vos fichiers chiffré, il l’ajoute à la liste qui se trouve ici :

%UserProfile%AppDataRoamingSystem32WorkEncryptedFileList.txt

L’adresse Bitcoin qui vous est assignée sera quant à elle, enregistrée ici :

%UserProfile%AppDataRoamingSystem32WorkAddress.txt

On ne sait pas encore comment il se transmet, mais il est super destructif. Si vous êtes infecté, n’essayez pas de killer Jigsaw ou de redémarrer votre ordinateur, sinon il passera à la vitesse supérieure en supprimant des milliers de fichiers à la fois.

Vous l’aurez compris, l’idée c’est de mettre une grosse pression à la victime pour lui extorquer de l’argent encore plus rapidement et ne pas laisser le temps à quelqu’un pour trouver un remède. Il y a même un compteur sur l’écran de Jigsaw pour ajouter à l’angoisse du truc.

,Mais c’était sans compter sur MalwareHunterTeam, DemonSlay335, et BleepinComputer des chercheurs en sécurité qui ont mis au point un déchiffreur pour Jigsaw.

Avant toute chose, tuez les processus firefox.exe et drpbx.exe via le gestionnaire de tâches pour empêcher de futures suppressions sauvages. Ensuite, lancez MSConfig et décochez le lancement automatique au démarrage de Windows, du programme firefox.exe appelé via ce chemin :

%UserProfile%AppDataRoamingFrfxfirefox.exe

Puis téléchargez le déchiffreur qui se trouve ici, lancez-le et choisissez le répertoire ou le disque où se trouve les fichiers chiffrés. Ne cochez pas la case « Delete Encrypted Files », tant que vous n’êtes pas certain que le déchiffrement se déroule correctement.

Screenshot 2016-04-13 13.57.48

Il faut savoir que la version actuelle de Jigsaw est déjà la 4e et ce ransomware évolue très vite. Donc il y a un risque que ce déchiffreur ne fonctionne plus prochainement.

Enfin, maintenant vous savez que ça existe. Faites gaffe à vos données ! Et pensez aux backups.


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Réponses notables

  1. Dans la panique vous pouvez tirer purement et simplement la prise électrique et redémarrer sur un live CD pour au moins sauvegarder les fichiers chiffrés.

  2. Avatar for sfx sfx says:

    C’est flippant de voir la vitesse à laquelle ce genre de merde se propage :anguished:

    A ce rythme et vu que ça fini même par se retrouver dans des versions officiels de certain soft (Transmission), je vais finir par devenir ultra parano et ne plus jamais rien installer sans le tester sur une machine suicide déconnecté de mon réseau avant !

    Bref, moi j’ai opté pour des backup sur HD USB OFFLINE !

  3. Avatar for tof tof says:

    et qulqu’un sait si “bit defender anti-ransomware” est efficace contre cette bestiole ?

  4. C’est clair, faut arrêter d’être con aussi des fois… Un logiciel ne fonctionne que si l’ordinateur est allumé… Premier réflexe dans ce genre de cas est effectivement d’éteindre l’ordos pour éviter plus grosse cata… Et puis, une fois qu’on a le temps de réfléchir, on se rend compte qu’il suffit de booter sur une autre instance d’OS que celui vérolé, voire un autre OS…

    PS1: Ah… Ce qu’on est bien dans le monde libre… Loin de toutes ces préoccupations inutiles, pertes de temps, etc…
    PS2: Quand est-ce que les entreprises (et particuliers) comprendront qu’il est dans leur intérêt

    1. de payer moins cher les OS dès l’origine,
    2. d’acheter des OS/Softs moins vulnérables aux fuites de données illégales comme légales,
    3. d’éviter de payer ces monstrueuses périodes d’improductivité,
    4. d’éviter de payer les sysadmins/réparateurs spécialisésqui doivent passer leur vie à régler ces problèmes et le facturent à fond ?
  5. L’arrêter oui, mais comme une brutasse (électriquement ou en restant appuyé sur le bouton power). Il pourrait très bien y avoir un hook sur l’arrêt de la machine.

    A part ça, je ne comprendrai jamais pourquoi ceux qui font ça utilisent des chiffrement à la con qui peuvent être décryptés aussi facilement. C’est difficile pour eux de trouver une lib AES-128 (voire 256 soyons fou) ?

  6. Peut-être pour pouvoir encrypter plus rapidement les fichiers du disque?(Je suis pas sûr, hein…)
    La plupart des personnes sujettes aux ransomwares ne vont probablement pas chercher à décrypter tout les fichiers.
    Pourquoi changer les recettes qui marchent?

  7. C’est devenu un nouveau business ? Acheter des failles Zéro Day puis les utiliser pour balancer des ransomware. Mais ce qui m’intrigue, c’est qui ose envoyer de l’argent à ces abrutis ? Je veux dire, t’as un carré bien mignon tout noir avec une tête des plus loufoques … c’est un peu comme si t’étais dans la rue et qu’on te mettait un couteau sous le cou en te disant “ouesh t’inquiète pas, files nous ta tune et tu pourras continuer à vivre”. Genre ça met en confiance … qu’est-ce qui nous garantie que le mec nous enverra les clés de sécurité ? Il s’en fout complet. Bref autant formater un bon coup, faire des backups régulier, éviter de télécharger le premier fichier sortie de “on ne sait zou !” et ne pas ouvrir/cliquer sur les liens bidons. Pour les utilisateurs de Chrome, vous pouvez aussi changer de navigateur, parce que l’auto-sauvegarde de fichier c’est mauvais pour la santé … après je dis ça, c’est votre problème - peut-être qu’on peut également le désactiver (je ne sais pas).

  8. Contrairement à ce que tu penses, ça fonctionne très bien. Un gradé de la cyberdéfense française est venu faire une conf à mon boulot là dessus, et de tête il me semble que c’est 30 ou 40% des gens qui paient, et il semblerait qu’il récupère bien leur fichier après. Pourquoi ? Parce que si c’est une double arnaque, ça se sait vite et les gens ne paieraient plus, alors qu’envoyer une clé de déchiffrement ça ne leur coûte rien.
    Ensuite “on formate et on en parle plus” si tu as une sauvegarde de tes données oui, mais pour beaucoup de particuliers ce n’est pas le cas, et une PME avec un NFS non backupé j’en parle pas non plus. Donc non ce n’est pas vraiment une solution. Ce genre de chose dans les entreprises fait perdre pas mal d’argent, même s’il y a un backup, rien que pour le temps perdu à restaurer.
    Enfin “ne pas utiliser chrome”, c’est vrai qu’utiliser Firefox qui n’est pas sandboxé, qui a été “banni” du Pwn2Own car aucune amélioration sur le plan sécurité depuis l’édition précédente, c’est mieux ? Chrome enregistre directement, mais à ce que je sache il n’y a pas d’autorun sur les fichiers enregistrés par Chrome ? Tu peux avoir un virus sur ton ordi, si tu ne le réveilles pas, il ne bougera pas.

  9. Vous l’aurez compris, l’idée c’est de mettre une grosse pression à la victime pour lui extorquer de l’argent encore plus rapidement et ne pas laisser le temps

    Bref la technique des Soldes quoi !

    @Article

    Sinon que viens faire Firefox dans l’histoire ?

Continuer la discussion sur Korben Communauté

3 commentaires supplémentaires dans les réponses

Participants