😞 🔻 🔐 Jigsaw crypto ransomware joue avec l'utilisateur comme le personnage du film "Saw" (+ instructions pour l'élimination) ⭕️ 🛰️ 🧒🏾

Le malware supprime les fichiers une fois par heure et lorsque vous essayez de redémarrer le PC

, il y a de plus en plus de programmes malveillants qui menacent la sécurité des données utilisateur. Nous n'avons pas eu le temps de résoudre le problème avec le rançongiciel cryptographique Petya cryptant le disque dur de l'utilisateur au lieu de fichiers séparés, car un autre rançongiciel est apparu - le rançongiciel cryptographique Jigsaw. Ce logiciel ne se contente pas de crypter les fichiers utilisateur et nécessite une rançon pour les décrypter. Toutes les 60 minutes, un fichier utilisateur est supprimé, les données sont également détruites par le ransomware et lors de la tentative de redémarrage du PC. Après un certain temps, l '«exécution» horaire affecte non seulement un, mais plusieurs fichiers. Lors du redémarrage, pas un ou deux fichiers ne sont supprimés, mais un millier à la fois.

Tout cela affecte très fortement l'utilisateur, et lui, dans la plupart des cas, préfère payer. Dans le même temps, une instruction s'affiche à l'écran sur le montant que vous devez payer (l'équivalent en bitcoins est de 150 $) et où vous pouvez obtenir des bitcoins pour payer la rançon. Déjà effrayé? En général, tout cela peut affecter un utilisateur techniquement formé ... Mais il y a une solution - comme dans le cas de Petya, il y avait des utilisateurs qui ont appris à neutraliser les ransomwares. Maintenant, ces utilisateurs partagent leurs expériences avec d'autres.

Que faire

Grâce à l'analyse des utilisateurs de Twitter MalwareHunterTeam , DemonSlay335 et BleepinComputer , un moyen de rendre le logiciel inoffensif a été trouvé. Un décodeur a été publié qui peut décrypter les fichiers affectés par Jigsaw.

Au départ, vous devez terminer les processus firefox.exe et drpbx.exe dans le gestionnaire de tâches. Cela évitera de supprimer des fichiers. Ensuite, démarrez MSConfig et arrêtez le processus firefox.exe, qui se trouve dans% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe. Ensuite, nous décryptons les fichiers à l'aide de ce programme .

Tout est assez simple:

Décrypteur de puzzle

si vous avez besoin de décrypter tous les fichiers du disque, sélectionnez non pas le dossier, mais la racine du disque, et cliquez sur «Décrypter mes fichiers».

Décryptage terminé

Et puis - puis nous exécutons un logiciel antivirus avec de nouvelles bases de données et vérifions le PC.

Détails techniques de Jigsaw Une

fois que le malware est entré dans l'ordinateur de l'utilisateur, il commence à rechercher des fichiers avec une extension spécifique et les crypte avec le cryptage AES. Les extensions natives sont remplacées par .FUN, .KKK ou .BTC.

Les fichiers suivants sont cryptés:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR, .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby, .1pa, .Qpd, .Txt, .Set, .Iif, .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4,, .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Leur liste se trouve dans% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt. L'adresse bitcoin est stockée dans le fichier% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt.

Fichiers associés à ce malware:

% UserProfile% \ AppData \ Roaming \ Frfx \
% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe
% UserProfile% \ AppData \ Local \ Drpbx \
% UserProfile% \ AppData \ Local \ Drpbx \ drpbx.exe
% UserProfile% \ AppData \ Roaming \ System32Work \
% UserProfile% \ AppData \ Roaming \ System32Work \ Address.txt
% UserProfile% \ AppData \ Roaming \ System32Work \ dr
% UserProfile% \ AppData \ Roaming \ System32Work \ EncryptedFileList.txt

Enfin, les entrées de registre:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ firefox.exe% UserProfile% \ AppData \ Roaming \ Frfx \ firefox.exe

Comme vous pouvez le voir, le chiffreur n'est pas le plus dangereux, mais l'idée, bien sûr, est forte. Si les futures versions du rançongiciel crypto sont mieux protégées, traiter avec Jigsaw sera beaucoup plus difficile.

Jigsaw crypto ransomware joue avec l'utilisateur comme le personnage du film "Saw" (+ instructions pour l'élimination)

More articles: