[INFO] Jigsaw, un ransomware de plus qui supprime des fichiers chiffrés toutes les heures

[INFO] Jigsaw, un ransomware de plus qui supprime des fichiers chiffrés toutes les heures

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur le ransomware Jigsaw.


Description :

Jigsaw est un ransomware qui a la particularité de supprimer progressivement des fichiers jusqu’à ce que l’utilisateur daigne payer la rançon.

Le ransomware, une fois exécuté, chiffre un grand nombre de documents, comme un ransomware classique. Cependant, toutes les 60 minutes, le ransomware supprime progressivement de plus en plus de fichiers. Au bout de 72h, l’ensemble des fichiers est supprimé. Par ailleurs, chaque redémarrage supprime environ 1000 fichiers.

Une solution existe, mais risque d’être corrigée très rapidement par les créateurs du ransomware. Celle-ci consiste à stopper les processus « firefox.exe » et « drpbx.exe », ainsi que de supprimer l’entrée suivante dans l’utilitaire msconfig : « %UserProfile%\AppData\Roaming\Frfx\firefox.exe ».

Des chercheurs ont développé un outil nommé « Jigsaw Decrypter » permettant de déchiffrer les fichiers. Il est disponible à l’adresse https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip.
Ce dernier n’a pas été testé ni évalué par les équipes d’XMCO.

Par ailleurs, de plus amples informations sur ce ransomware sont disponibles à l’adresse https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip.


Référence(s) :

  • http://www.silicon.fr/jigsaw-ransomware-lance-compte-a-rebours-144813.html
  • http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/

Référence CERT-XMCO :

CXN-2016-1153


Clément Mezino

Analyste CERT, Responsable du service de CTI Serenety