Jigsaw / CryptoHitman (Crypto-ransomware)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 114810
Inscription : 10 sept. 2005 13:57

Jigsaw / CryptoHitman (Crypto-ransomware)

par Malekal_morte »

Découvert vers le 10 avril 2016, Jigsaw est un rançongiciel chiffreur de fichiers ou Crypto-Ransomware qui infecte uniquement les systèmes Microsoft Windows. Son origine semble brésilienne et ne vise apparemment que très peu notre pays, la France.

Le rançongiciel Jigsaw va donc chiffrer ( crypter ) vos documents, c'est à dire, rendre ces derniers inaccessibles afin de vous réclamer de payer une rançon pour récupérer son accès ( prise d'otage numérique ). Le programme modifie l'extension des fichiers chiffrés avec une extension aléatoire comme .btc ou .kkk

Jigsaw a la terrible particularité de supprimer des fichiers toutes les heures au démarrage de Windows.
Il s'agit du premier Crypto-Ransomware a adopter ce type de démarche agressive ( scare-tactics )

Image

La page de paiement ( en Bitcoin ) est en langue espagnole avec un décompte des fichiers qui vont être supprimés. La victime est tourmentée car à chaque instant, elle sait que le temps est compté.

Image

Image

Message Jigsaw en anglais :
"Your computer files have been encrypted. Your photos, videos, documents, etc... But, don't worry! I have not deleted them, yet. You have 24 hours to pay 150 USD in Bitcoins to get the decryption key. Every hour files will be deleted. Increasing in amount every time. After 72 hours all that are left will be deleted.

If you do not have bitcoins Google the website localbitcoins. Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one. Send to the Bitcoins address specified. Within two minutes of receiving your payment your computer will receive the decryption key and return to normal. Try anything funny and the computer has several safety measures to delete your files. As soon as the payment is received the crypted files will be returned to normal. Thank you."
Image

Le ransomware se charge au démarrage de la session Windows, à travers d'une clef du Registre qui changera probablement au fil des variantes :
HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\Run: [firefox.exe] => C:\Users\VincentPC\AppData\Roaming\Frfx\firefox.exe [1563648 2015-04-12] ()
Un processus drpbx.exe peut aussi être présent.

Détections :

SHA256: 917809beb6566079dbb6b686107756d9eb3ff4543f6b41ef327cea7497118457
Nom du fichier : drpbx.exe
Ratio de détection : 37 / 56
Date d'analyse : 2016-04-12 17:07:40 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.3122592 20160412
AVG Atros3.XTV 20160412
AVware Trojan.Win32.Generic!BT 20160412
Ad-Aware Trojan.GenericKD.3122592 20160412
AegisLab Troj.W32.Agent!c 20160412
Arcabit Trojan.Generic.D2FA5A0 20160412
Avast Win32:Malware-gen 20160412
Avira (no cloud) TR/Agent.1563648.9 20160412
BitDefender Trojan.GenericKD.3122592 20160412
DrWeb Trojan.MulDrop6.35819 20160412
ESET-NOD32 MSIL/Filecoder.Jigsaw.B 20160412
Emsisoft Trojan.GenericKD.3122592 (B) 20160412
F-Secure Trojan.GenericKD.3122592 20160412
Fortinet W32/Agent.NEUFIY!tr 20160404
GData Trojan.GenericKD.3122592 20160412
Ikarus Trojan.Agent 20160412
K7AntiVirus Trojan ( 004e15f61 ) 20160412
K7GW Trojan ( 004e15f61 ) 20160404
Kaspersky Trojan.Win32.Agent.neufiy 20160412
Malwarebytes Trojan.BitCoinStealer 20160412
McAfee Artemis!6984A724843F 20160412
McAfee-GW-Edition BehavesLike.Win32.Trojan.tc 20160412
eScan Trojan.GenericKD.3122592 20160412
NANO-Antivirus Trojan.Win32.MulDrop6.ebiqwj 20160412
Panda Trj/GdSda.A 20160412
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160412
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160412
Sophos Mal/Generic-S 20160412
Symantec Trojan.Ransomcrypt.AJ 20160412
Tencent Win32.Trojan.Agent.Wqdg 20160412
TrendMicro Ransom_JIGSAW.B 20160412
TrendMicro-HouseCall Ransom_JIGSAW.B 20160412
VBA32 Trojan.Agent 20160412
VIPRE Trojan.Win32.Generic!BT 20160412
ViRobot Trojan.Win32.Z.Agent.1563648.C[h] 20160412
Yandex Trojan.Agent!8v7L3U0Nc0g 20160412
nProtect Trojan.GenericKD.3122592 20160412

Récupération des fichiers Jigsaw

Vous pouvez tenter ce programme : https://download.bleepingcomputer.com/d ... rypter.zip
Cliquez sur "Select Directory" puis sélectionner le dossier contenant les fichiers chiffrés par Jigsaw à récupérer.
Puis cliquez sur Decrypt My Files.

D'autres outils sont disponibles, rendez-vous sur la page : Outils de décryptage (Decrypt Tools Ransomware)



Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.

Liens connexes (ѠOOT):
http://www.bleepingcomputer.com/news/se ... extension/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 114810
Inscription : 10 sept. 2005 13:57

Re: Jigsaw (Crypto-ransomware)

par Malekal_morte »

Suite à la mise en ligne d'un outil pour récupérer les fichiers gratuitement...
Jigsaw 2.0 va arriver, probablement corrigeant une bonne fois pour toute la possibilité de récupérer les fichiers.

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 114810
Inscription : 10 sept. 2005 13:57

Re: Jigsaw (Crypto-ransomware)

par Malekal_morte »

L'éditeur de solution de sécurité TrendMicro a publié une analyse de Jigsaw.
On y apprends que diverses extensions sont utilisées, par exemple : .KKK, .BTC, et .GWS
TrendMicro estime que Jigsaw est arrivé par l'hébergeur de fichiers en ligne : 1fichier[.]com
Je pense donc que cette campagne se fait peut-être par des cracks ou bien d'autres prétextes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 114810
Inscription : 10 sept. 2005 13:57

Re: CryptoHitman (Crypto-ransomware)

par Malekal_morte »

Le nom a changé vers CryptoHitman avec comme adresse de contact [email protected].
Malgré ce changement, l'utilitaire JigSawDecrypter de récupération des fichiers fonctionne.
=> https://download.bleepingcomputer.com/d ... rypter.zip

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 114810
Inscription : 10 sept. 2005 13:57

Re: Jigsaw / CryptoHitman (Crypto-ransomware)

par Malekal_morte »

D'autres variantes continuent à sortir.
Ici une version qui change les fichiers avec l'extension .epic

Image

Image

La détection :
SHA256: 61aa800584b170ffe9959acd057ccaf784bf3088e1d3aab39d07c0793f6c03df
File name: ClemcoApp.exe
Detection ratio: 25 / 52
Analysis date: 2016-06-17 15:34:50 UTC ( 1 hour, 20 minutes ago )

Antivirus Result Update
ALYac Gen:Variant.MSIL.Ransom.Jigsaw.1 20160617
AVware Trojan.Win32.Generic!BT 20160617
Ad-Aware Gen:Variant.MSIL.Ransom.Jigsaw.1 20160617
AegisLab Gen.Variant.Msil.Ransom!c 20160617
Antiy-AVL Trojan/Generic.ASMalwS.1948C08 20160617
Arcabit Trojan.MSIL.Ransom.Jigsaw.1 20160617
Avast Win32:Malware-gen 20160617
Avira (no cloud) TR/Ransom.wbuq 20160617
BitDefender Gen:Variant.MSIL.Ransom.Jigsaw.1 20160617
ESET-NOD32 a variant of MSIL/Filecoder.Jigsaw.D 20160617
Emsisoft Gen:Variant.MSIL.Ransom.Jigsaw.1 (B) 20160617
F-Secure Gen:Variant.MSIL.Ransom.Jigsaw.1 20160617
Fortinet MSIL/Filecoder_Jigsaw.D!tr 20160617
GData Gen:Variant.MSIL.Ransom.Jigsaw.1 20160617
Ikarus Trojan.MSIL.Filecoder 20160617
K7AntiVirus Trojan ( 004f21821 ) 20160617
K7GW Trojan ( 004f21821 ) 20160617
Kaspersky Trojan.Win32.Scar.onhj 20160617
Malwarebytes Ransom.JigSaw 20160617
McAfee Ransomware-FJY!D0E1AEA88850 20160617
McAfee-GW-Edition BehavesLike.Win32.Trojan.bh 20160617
eScan Gen:Variant.MSIL.Ransom.Jigsaw.1 20160617
Panda Trj/GdSda.A 20160617
Qihoo-360 Win32/Trojan.Ransom.388 20160617
Sophos Mal/Generic-S 20160617
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »