Qu’est-ce que Jigsaw Ransomware et comment s’en protéger ?
En mars 2016,Scie sauteuseprésentait le Billy la marionnette personnage du film d'horreur Scie sur sa page de demande de rançon
Bien qu’elle ait semé la peur dans les entreprises du monde entier, cette terreur s’est avérée faillible car elle était écrite en . FILET, et son code pourrait être lu pour déterminer comment décrypter les fichiers au lieu de payer la rançon.
Malgré sa faiblesse en matière de sécurité, Jigsaw doit être protégé. Bien qu'il ne soit pas actuellement déchaîné, Jigsaw a l'habitude de ressusciter des morts, il pourrait donc revenir et effrayer votre gestionnaire de réseau.
À propos du rançongiciel Jigsaw
Le ransomware Jigsaw était également connu sous le nom de BitcoinChanteur . Il attaque uniquement les ordinateurs exécutant le système d'exploitation Windows. Lorsqu’un malware est détecté pour la première fois, chaque laboratoire de recherche en cybersécurité propose un nom. Tandis que certains, après avoir appris que d'autres laboratoires nommaient un virus, adopteront ce nom, d'autres, identifiant le nouveau malware presque simultanément, trouveront leur mot pour le désigner. Ainsi, certains malwares sont connus par plusieurs caractères, et c'est le cas de Jigsaw/BicoinBlackmailer.
Jigsaw était le principal protagoniste du Scie franchise d'horreur. C'était le personnage que Jim Kramer, un meurtrier en série, surnommé le tueur de puzzle . À l'approche d'un meurtre, Jigsaw a piégé ses victimes et les a ensuite narguées avec des tâches qui promettaient de leur sauver la vie. Les instructions pour ces tâches étaient transmises sur des écrans de télévision par une marionnette appelée Gamelle . Une image de cette marionnette apparaît sur la demande de rançon du malware, qui a inspiré son nom.
Le nom Jigsaw n’apparaissait pas sur l’écran des versions précédentes. Cependant, au fil des mois, de nouvelles variantes ont été publiées et les scénaristes ont adopté le nom de Jigsaw.
Que fait le rançongiciel Jigsaw ?
Jigsaw accède à un système via spam . Des variantes du ransomware peuvent également être trouvées dans les logiciels publicitaires et sur les téléchargements de sites pornographiques. La pièce jointe ou le téléchargement inclut le programme d'installation de Jigsaw et s'activera une fois le fichier ouvert.
Jigsaw cache son existence en adoptant le nom firefox.exe ou drpbx.exe. Le code du virus de cryptage se trouve dans %UserProfile%AppDataRoamingFrfxfirefox.exe, et il écrit une commande de lancement pour lui-même dans la liste des processus de démarrage.
Le ransomware crypte tous les fichiers de données sur l'ordinateur infecté, ainsi que ses Enregistrement de démarrage principal . Il utilise AES chiffrement. Il garantit également son démarrage avec l'ordinateur. Le cryptage démarre immédiatement une fois le programme installé. Heureusement, Jigsaw ne se déplace pas latéralement sur un réseau. Il crypte uniquement les fichiers sur l'appareil sur lequel il a été téléchargé. Le système ne chiffre pas exécutables .
L’écran de rançon apparaît une fois le processus de cryptage terminé. Ceci comprend un compte à rebours pendant une heure; quand cela atteint zéro, un fichier est supprimé . L'écran se compose d'un bouton qui, lorsqu'on appuie dessus, fait apparaître un fichier texte répertoriant tous les fichiers cryptés.
La rançon pour la clé de décryptage est l’équivalent Bitcoin de 150 $. Pour motiver la victime, Jigsaw supprime un fichier après une heure . Il effectue ensuite un cycle de suppression toutes les heures, supprimant un nombre croissant de fichiers à chaque action. Si le paiement n'est pas effectué 72 heures une fois le message initial affiché, le ransomware effacera tout l’ordinateur.
Redémarrer l'ordinateur est une mauvaise idée car le ransomware redémarrera et supprimer 1 000 fichiers comme punition. L’avertissement de rançon indique également que 1 000 fichiers seront supprimés si l’utilisateur tente de mettre fin au processus en cours d’exécution du malware. Cependant, cela s'est avéré être faux , ce qui rend très facile la défaite du programme.
De nombreux analystes en cybersécurité ont conclu que Jigsaw était le produit de amateurs , peut-être des adolescents surperformants, parce que ce n’était pas très bien planifié. La facilité avec laquelle les chercheurs ont pu repérer le processus et l’arrêter a montré que les pirates n’avaient pas beaucoup d’expérience dans la création de logiciels malveillants. Cela conduit à la conclusion que le système Jigsaw était plus un défi qu’une menace.
Payer la rançon pour le ransomware Jigsaw
L'écran de rançon affiche l'identifiant de un portefeuille Bitcoin . La victime est censée acheter les Bitcoins demandés et les allouer à ce portefeuille.
L'écran comprend également un bouton sur lequel la victime doit appuyer une fois le paiement effectué. Le système vérifie ensuite le compte pour le dépôt et, si cela est détecté, il mettre à jour le programme pour décrypter tous les fichiers, puis supprimer tous les composants du ransomware, remettant ainsi l'ordinateur dans son état d'origine.
Variantes de puzzle
Il y avait beaucoup variantes de Jigsaw , chacun étant indiqué par un écran de rançon différent, une extension différente utilisée pour les fichiers cryptés et différentes méthodes d'entrée. Le montant de la rançon changeait également avec chaque version. La première incarnation demandait 150 dollars, mais les demandes des variantes suivantes allaient de 10 dollars à 380 dollars. Le puzzle original ajoutait le .amusant extension et les développeurs ont initialement utilisé ce nom pour le ransomware.
Les versions plus récentes du malware Jigsaw étaient soit des adaptations pour changer la langue de l'écran de demande, des améliorations du code, des modifications de la disposition de l'écran du ransomware, ou un ransomware nommé différemment qui était presque identique au Jigsaw original.
Quelques variantes utilisées une adresse email de contact comme extension de fichier cryptée avec plusieurs adresses différentes utilisées. Cela pourrait impliquer que de nombreuses variantes ont été adaptées par d'autres personnes ayant acquis le code Jigsaw.
Récupération du rançongiciel Jigsaw
Les analystes en cybersécurité ont découvert très rapidement que le ransomware Jigsaw et toutes ses variantes pouvaient être facilement vaincu . Bien que l’écran de rançon indique que 1 000 fichiers seront supprimés si l’utilisateur tente d’arrêter le processus, ce n’est pas le cas.
Suivez ces étapes pour récupérer gratuitement de Jigsaw :
- Ouvrez leGestionnaire des tâcheset tuez deux processus. Ceux-ci sontFirefoxetBoîte de dépôt. La variante dont vous disposez peut utiliser l’un ou l’autre ou les deux. Si vous ne repérez pas les deux, ne vous inquiétez pas. Assurez-vous simplement qu'aucun des deux ne fonctionne.
- Ouvrez leDémarrerdans le Gestionnaire des tâches et désactivez-y les entrées Firefox et/ou Dropbox.
- Téléchargez le solveur de puzzle CheckPoint en cliquant sur ici . Décompressez le fichier JPS.zip.
- Accédez au répertoire dans lequel vous avez décompressé et faites un clic droit sur leJPS.exefichier : sélectionnezExécuter en tant qu'administrateur.
- Suivez les instructions du Solveur de Puzzles.
L'utilitaire Check Point astuces le programme Jigsaw en pensant que la rançon a été payée, il lance donc tous ses processus de remédiation et décrypte tous les fichiers. Il nettoiera également en supprimant tous les éléments du ransomware Jigsaw de l'ordinateur.
Deux caractéristiques de Jigsaw facilitent sa gestion. Tout d’abord, il n’infecte que un ordinateur à la fois; il ne se réplique pas sur le réseau. Deuxièmement, il tire immédiatement après l’avoir installé sur un ordinateur, vous n’avez donc pas à craindre qu’il y ait des copies dormantes sur l’un de vos ordinateurs.
Se protéger contre le rançongiciel Jigsaw
Jigsaw n’est plus réapparu depuis un bon moment. Cependant, les créateurs étaient jamais arrêté, ils sont donc toujours là et pourraient relancer une campagne à tout moment. Bien qu'il existe une solution simple pour inverser le cryptage, ces pirates informatiques s'appuient sur le fait que certaines personnes attaquées le feront. panique et payez la rançon le plus rapidement possible sans chercher une solution gratuite.
Les hackers derrière Jigsaw étaient jamais identifié . On n’a même pas découvert dans quel pays ils opèrent. De nombreuses recherches publiées sur le Web expliquent les faiblesses de Jigsaw, et il est plus que probable que les pirates aient lu toutes ces analyses. Ils pourraient être là-bas en ce moment, durcissement leur ransomware pour le rendre plus difficile à vaincre.
Le ransomware Jigsaw est téléchargé par l’utilisateur de l’ordinateur. Par conséquent, la protection essentielle contre les futures attaques de ce logiciel de rançon et de tout autre ransomware consiste à sensibiliser la communauté des utilisateurs sur le téléchargement de pièces jointes à des e-mails provenant de sources inconnues. C'est également une bonne idée d'imposer des sanctions aux utilisateurs pour les empêcher de télécharger des logiciels non autorisés sur les ordinateurs de l'entreprise.
Vous devriez également être intelligent logiciel de cybersécurité installé sur tous les points finaux et investissez dans un logiciel de surveillance de la sécurité.
Les meilleurs outils de défense contre le ransomware Jigsaw
Comme les ordinateurs de bureau sont les plus vulnérables au ransomware Jigsaw, vous devez vous procurer un détection et réponse des points finaux suite (EDR) pour protéger tous vos points de terminaison. Si vous êtes lié à une norme de confidentialité des données, telle que HIPAA , PCI DSS , ou RGPD , vous devez disposer d'un logiciel de sécurité pour défendre les données sensibles contre toute attaque.
Les systèmes EDR ont évolué à partir des systèmes antivirus d'origine. Alors que les antivirus vérifient les fichiers ou les processus exécutés sur un ordinateur dans une liste de logiciels malveillants connus, les EDR sont plus sophistiqués. Il faut du temps aux laboratoires de recherche en cybersécurité pour prendre conscience des nouveaux logiciels malveillants, les enquêter et produire une solution. Durant cette période, de nombreux ordinateurs pourraient être infectés par ce qu’on appelle « attaques du jour zéro .» Les systèmes EDR modernes ne reposent pas sur une liste noire. Au lieu de cela, ils recherchent comportement inhabituel .
Un système EDR solide partage des informations sur les attaques entre clients. Cela supprime les laboratoires de recherche en mutualisant les expériences, de sorte que dès la mise en place d'un EDR, des spots un nouveau virus sur un site client, toutes les autres instances de cet EDR opérant dans le monde le savent.
Voici deux exemples du type de logiciel de protection dont vous aurez besoin pour vous protéger contre Jigsaw et tout autre ransomware.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un EDR coordonné à l’échelle de l’entreprise. Il comprend des modules installés sur tous les points finaux ainsi qu'un contrôleur central basé sur le cloud. Les agents de point de terminaison sont des implémentations d'un système antivirus autonome de nouvelle génération commercialisé par CrowdStrike. C'est appelé Faucon Empêcher .
Les agents de point de terminaison sont entièrement autonome et continuera à fonctionner si l'ordinateur est coupé du réseau et ne peut pas accéder au contrôleur Insight. Habituellement, ce module surveille le point de terminaison et télécharge les données d'événement sur le système cloud Insight pour analyse. Le système cloud reçoit également renseignements automatisés sur les menaces de la communauté des utilisateurs Insight.
L'agent de point de terminaison recherche activité anormale et peut mettre en œuvre des actions immédiates s’il le repère. Les instructions de réponse proviennent également du système Insight. Le service peut tuer des processus, supprimer des fichiers, isoler l'appareil du réseau, suspendre les comptes d'utilisateurs et bloquer la communication avec des adresses IP suspectes. Toutes ces actions conviennent pour gérer Jigsaw.
Les capacités de Falcon Insight offrent une protection contre attaques du jour zéro ainsi qu'une liste de logiciels malveillants connus. Les fonctions de coordination du module Insight cloud signifient que dès qu'un point de terminaison est attaqué, tous les autres agents du point de terminaison sont mis en alerte.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est un système de protection des données sensibles. Ce package a été conçu pour aider les entreprises qui doivent se conformer à une norme de confidentialité des données, telle que HIPAA, PCI DSS et GDPR. Les systèmes de protection des données doivent garantir que les données ne sont pas endommagées ou inexactes et maintenir leur disponibilité pour une utilisation appropriée. Certaines attaques de logiciels malveillants visent à voler puis à vendre ou à publier informations personnellement identifiables (PII).
DataSecurity Plus localise et catégorise les données sensibles puis le protège. Le système met en œuvre une surveillance de l'intégrité des fichiers, qui alerte en cas de modifications non autorisées des fichiers ou de mouvements non autorisés. Le service surveille e-mails et Périphériques USB pour bloquer les téléchargements et empêcher la divulgation de données.
Le service de sécurité protège les systèmes Windows, qui sont la cible de Jigsaw et de la plupart des autres ransomwares. Le package présente des options aux administrateurs pour configurer des réponses automatisées aux attaques détectées.
Le logiciel pour ManageEngine DataSecurity Plus s'installe sur Serveur Windows, et il est disponible pour un essai gratuit de 30 jours .