Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Jigsaw – Le ransomware le plus sadique du monde

Ça n’arrête pas en ce moment. Attention, un nouveau ransomware pour Windows vient d’arriver dans la place, mais celui-ci est encore plus cruel que les autres. Son petit nom ? Jigsaw inspiré du personnage du film d’horreur Saw.

En effet, après avoir chiffré tous vos documents, photos, vidéos…etc., Jigsaw s’amuse sadiquement à supprimer vos fichiers toutes les heures. Il commence avec un fichier, puis d’heure en heure, il en supprime de plus en plus. Ainsi, si vous tardez trop à payer les 150 $ réclamés (soit 0,4 Bitcoins), 48h plus tard vous n’aurez plus aucun fichier à sauver.

jigsaw-ransomware

Il ne déconne pas celui-là et s’en prend aux fichiers avec les extensions suivantes :

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Une fois chiffrés, ces derniers se retrouvent avec une extension .FUN, .KKK ou .BTC… notez l’humour bon enfant de tout ça. Une fois l’un de vos fichiers chiffré, il l’ajoute à la liste qui se trouve ici :

%UserProfile%AppDataRoamingSystem32WorkEncryptedFileList.txt

L’adresse Bitcoin qui vous est assignée sera quant à elle, enregistrée ici :

%UserProfile%AppDataRoamingSystem32WorkAddress.txt

On ne sait pas encore comment il se transmet, mais il est super destructif. Si vous êtes infecté, n’essayez pas de killer Jigsaw ou de redémarrer votre ordinateur, sinon il passera à la vitesse supérieure en supprimant des milliers de fichiers à la fois.

Vous l’aurez compris, l’idée c’est de mettre une grosse pression à la victime pour lui extorquer de l’argent encore plus rapidement et ne pas laisser le temps à quelqu’un pour trouver un remède. Il y a même un compteur sur l’écran de Jigsaw pour ajouter à l’angoisse du truc.

,Mais c’était sans compter sur MalwareHunterTeam, DemonSlay335, et BleepinComputer des chercheurs en sécurité qui ont mis au point un déchiffreur pour Jigsaw.

Avant toute chose, tuez les processus firefox.exe et drpbx.exe via le gestionnaire de tâches pour empêcher de futures suppressions sauvages. Ensuite, lancez MSConfig et décochez le lancement automatique au démarrage de Windows, du programme firefox.exe appelé via ce chemin :

%UserProfile%AppDataRoamingFrfxfirefox.exe

Puis téléchargez le déchiffreur qui se trouve ici, lancez-le et choisissez le répertoire ou le disque où se trouve les fichiers chiffrés. Ne cochez pas la case « Delete Encrypted Files », tant que vous n’êtes pas certain que le déchiffrement se déroule correctement.

Screenshot 2016-04-13 13.57.48

Il faut savoir que la version actuelle de Jigsaw est déjà la 4e et ce ransomware évolue très vite. Donc il y a un risque que ce déchiffreur ne fonctionne plus prochainement.

Enfin, maintenant vous savez que ça existe. Faites gaffe à vos données ! Et pensez aux backups.


Réponses notables

  1. Dans la panique vous pouvez tirer purement et simplement la prise électrique et redémarrer sur un live CD pour au moins sauvegarder les fichiers chiffrés.

  2. sfx says:

    C’est flippant de voir la vitesse à laquelle ce genre de merde se propage :anguished:

    A ce rythme et vu que ça fini même par se retrouver dans des versions officiels de certain soft (Transmission), je vais finir par devenir ultra parano et ne plus jamais rien installer sans le tester sur une machine suicide déconnecté de mon réseau avant !

    Bref, moi j’ai opté pour des backup sur HD USB OFFLINE !

  3. tof says:

    et qulqu’un sait si “bit defender anti-ransomware” est efficace contre cette bestiole ?

  4. C’est clair, faut arrêter d’être con aussi des fois… Un logiciel ne fonctionne que si l’ordinateur est allumé… Premier réflexe dans ce genre de cas est effectivement d’éteindre l’ordos pour éviter plus grosse cata… Et puis, une fois qu’on a le temps de réfléchir, on se rend compte qu’il suffit de booter sur une autre instance d’OS que celui vérolé, voire un autre OS…

    PS1: Ah… Ce qu’on est bien dans le monde libre… Loin de toutes ces préoccupations inutiles, pertes de temps, etc…
    PS2: Quand est-ce que les entreprises (et particuliers) comprendront qu’il est dans leur intérêt

    1. de payer moins cher les OS dès l’origine,
    2. d’acheter des OS/Softs moins vulnérables aux fuites de données illégales comme légales,
    3. d’éviter de payer ces monstrueuses périodes d’improductivité,
    4. d’éviter de payer les sysadmins/réparateurs spécialisésqui doivent passer leur vie à régler ces problèmes et le facturent à fond ?
  5. L’arrêter oui, mais comme une brutasse (électriquement ou en restant appuyé sur le bouton power). Il pourrait très bien y avoir un hook sur l’arrêt de la machine.

    A part ça, je ne comprendrai jamais pourquoi ceux qui font ça utilisent des chiffrement à la con qui peuvent être décryptés aussi facilement. C’est difficile pour eux de trouver une lib AES-128 (voire 256 soyons fou) ?

  6. Peut-être pour pouvoir encrypter plus rapidement les fichiers du disque?(Je suis pas sûr, hein…)
    La plupart des personnes sujettes aux ransomwares ne vont probablement pas chercher à décrypter tout les fichiers.
    Pourquoi changer les recettes qui marchent?

  7. C’est devenu un nouveau business ? Acheter des failles Zéro Day puis les utiliser pour balancer des ransomware. Mais ce qui m’intrigue, c’est qui ose envoyer de l’argent à ces abrutis ? Je veux dire, t’as un carré bien mignon tout noir avec une tête des plus loufoques … c’est un peu comme si t’étais dans la rue et qu’on te mettait un couteau sous le cou en te disant “ouesh t’inquiète pas, files nous ta tune et tu pourras continuer à vivre”. Genre ça met en confiance … qu’est-ce qui nous garantie que le mec nous enverra les clés de sécurité ? Il s’en fout complet. Bref autant formater un bon coup, faire des backups régulier, éviter de télécharger le premier fichier sortie de “on ne sait zou !” et ne pas ouvrir/cliquer sur les liens bidons. Pour les utilisateurs de Chrome, vous pouvez aussi changer de navigateur, parce que l’auto-sauvegarde de fichier c’est mauvais pour la santé … après je dis ça, c’est votre problème - peut-être qu’on peut également le désactiver (je ne sais pas).

  8. Contrairement à ce que tu penses, ça fonctionne très bien. Un gradé de la cyberdéfense française est venu faire une conf à mon boulot là dessus, et de tête il me semble que c’est 30 ou 40% des gens qui paient, et il semblerait qu’il récupère bien leur fichier après. Pourquoi ? Parce que si c’est une double arnaque, ça se sait vite et les gens ne paieraient plus, alors qu’envoyer une clé de déchiffrement ça ne leur coûte rien.
    Ensuite “on formate et on en parle plus” si tu as une sauvegarde de tes données oui, mais pour beaucoup de particuliers ce n’est pas le cas, et une PME avec un NFS non backupé j’en parle pas non plus. Donc non ce n’est pas vraiment une solution. Ce genre de chose dans les entreprises fait perdre pas mal d’argent, même s’il y a un backup, rien que pour le temps perdu à restaurer.
    Enfin “ne pas utiliser chrome”, c’est vrai qu’utiliser Firefox qui n’est pas sandboxé, qui a été “banni” du Pwn2Own car aucune amélioration sur le plan sécurité depuis l’édition précédente, c’est mieux ? Chrome enregistre directement, mais à ce que je sache il n’y a pas d’autorun sur les fichiers enregistrés par Chrome ? Tu peux avoir un virus sur ton ordi, si tu ne le réveilles pas, il ne bougera pas.

  9. Vous l’aurez compris, l’idée c’est de mettre une grosse pression à la victime pour lui extorquer de l’argent encore plus rapidement et ne pas laisser le temps

    Bref la technique des Soldes quoi !

    @Article

    Sinon que viens faire Firefox dans l’histoire ?

Continuer la discussion sur Korben Communauté

3 commentaires supplémentaires dans les réponses

Participants

Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même…

Lire la suite


Plus de 60 idées pour votre Raspberry Pi

Nous sommes nombreux à nous être procuré un petit ordinateur Raspberry Pi pour nous lancer dans des projets de ouf malade… C’est très cool, mais à part le classique Media Center XBMC, qu’avez-vous fait avec votre Raspberry Pi ?

Si vous séchez niveau idées, voici une petite sélection…

Lire la suite


Une astuce pour rendre Windows 10 plus rapide

Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.

Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé « Performances ». Puis cliquez sur « Régler l’apparence et les performances de Windows » …

Lire la suite


Changer d’adresse IP rapidement

Une petite astuce pour ceux qui ne connaissent pas. Comment changer d’adresse IP à la volée.
Il suffit d’en demander une nouvelle à son provider si celui-ci accepte les IP dynamiques. Pour vérifier que vos manipulation ont eu l’effet escompté, vérifiez quelle est votre adresse IP….

Lire la suite