Jigsaw ne se contente pas de crypter vos fichiers, il les détruit si vous ne payez pas la rançon réclamée !

Jigsaw est le surnom original du tueur de la série de films Saw. Mais Jigsaw est aussi le personnage éponyme d’un nouveau rançongiciel particulièrement nocif dont le mode de diffusion reste, pour l’heure, encore inconnu.

Ce nouveau crypto virus se manifeste comme les précédents programmes malveillants (Locky, Petya…) en affichant une boîte de dialogue sur l’écran des stations de travail infectées, à la différence qu’il ne se contente plus de chiffrer les fichiers des équipements contaminés, mais menace à présent de les détruire.

Afin d’accroître encore plus la pression sur les victimes, il supprime des lots de 1.000 fichiers à chaque redémarrage de la station jusqu’au paiement de la rançon réclamée en monnaie virtuelle (entre 20 et 200 dollars selon les pays).

Boite de dialogue du Ransomware JIGSAW

Comment fonctionne Jigsaw plus précisément ?

Lorsque Jigsaw s’est infiltré dans une station de travail, il scanne le lecteur pour trouver les fichiers dotés des extensions les plus communes (.doc, .xls, .jpg, .txt, .pptx, .zip …), les cryptes au moyen d’une clé AES et ajoute une extension (.FUN, .KKK,  .GWS, .BTC…).

Les fichiers renommés sont alors ajoutés à une liste :

%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

et une adresse Bitcoin lui est assignée et sauvegardée :

%UserProfile%\AppData\Roaming\System32Work\Address.txt file

Enfin, Jigsaw installe un programme d’activation automatique lui permettant de s’exécuter et de programmer la destruction d’un millier de fichiers à chaque fois que l’utilisateur démarre sa session sur son poste de travail.

Des experts vous livrent l'antidote

Si vous avez été touché par Jigsaw et ne disposez pas d’un Plan de Reprise d’activité, ne payez pas la rançon. Des experts ont élaboré une méthode pour déchiffrer vos fichiers infectés. Voici les étapes à suivre :

1. Ouvrez le gestionnaire de tâches de la station de travail contaminée et mettez fin aux programmes  firefox.exe et drpbx.exe. Cette opération stoppera la destruction de nouveaux fichiers.
2. Lancez l’utilitaire Windows MSConfig et supprimez l’entrée de démarrage pointant vers %UserProfile%\AppData\Roaming\Frfx\firefox.exe. Cela empêchera le malware de se relancer au redémarrage de Windows.
   Jigsaw est à présent neutralisé, mais il faut encore déchiffrer les fichiers infectés.
3. Téléchargez le programme de déchiffrement Jigsaw Decryptor (cliquez-ici)
4. Une fois téléchargé, double-cliquez sur le fichier JigSawDecrypter.exe pour lancer le programme

5. 

   Pour déchiffrer les fichiers, sélectionnez un répertoire contenant les fichiers infectés et cliquez sur le bouton Decrypt My Files.

   Si vous souhaitez déchiffrer le disque entier de votre station de travail, sélectionnez C: .

   Attention : Ne cochez pas la case « Supprimez les fichiers chiffrés » (Delete Encrypted Files) avant d’avoir vérifié que vos fichiers ont bien été déchiffrés.

6. Une fois l’opération de déchiffrement achevée, l’écran suivant apparaît :