Link
Sécurité informatique

Jigsaw et Cryptohost : comment se débarrasser de ces 2 nouveaux virus ransomware

LUNDI 18 AVRIL 2016

Mots-clés :
  • # Informatique
  • # Sécurité
Jigsaw et Cryptohost : comment se débarrasser de ces 2 nouveaux virus ransomware - CCI de Lyon

Encore deux "virus rançons" ont fait leur apparition : les identifier et s'en débarasser.

Comme nous l'avions signalé en début de mois, pas de répit avec les ransomwares !

CRYPTOHOST : le virus qui verrouille vos données dans une archive RAR

Il se fait passer généralement pour le logiciel P2P uTorrent et se télécharge souvent sous le nom de uTorrent.exe pour tromper les utilisateurs. Un simple clic sur l'exécutable suffit pour l'activer.
CryptoHost, connu également sous le nom de Manamecrypt, ne chiffre pas directement vos fichiers. Il opère tout simplement en déplaçant vos fichiers dans une archive au format RAR protégée par un mot de passe. Il affichera par la suite trois messages différents sur votre bureau en vous précisant de régler la somme de 0.33 Bitcoins (environ 120 euros) pour récupérer vos données.

Récupérer les fichiers verrouillés par CryptoHost : 

Une équipe de recherche composée de Michael Gillepsie, MalwareForMe, MalwareHunterTeam et enfin Bleeping Computer a découvert le moyen de récupérer ses données en déverrouillant l’archive sans payer cette fameuse rançon.
L’équipe révèle que le ransomware combine le numéro d’identification du processeur, le numéro de série de carte mère ainsi que celui du disque « C:\ » pour générer un algorithme de cryptographie. C’est cet algorithme qui est utilisé pour nommer l’archive RAR verrouillée. Par conséquent personne ne
possède le même mot de passe... en fait il correspond tout simplement au nom de l’archive combiné à votre nom d’utilisateur.
Exemple : 
Si votre archive se nomme "9876543210FEDCBA01234" et que votre nom d’utilisateur c’est « Michel »,
votre mot de passe est le suivant : 9876543210FEDCBA01234Michel.

Avant de rentrer votre mot de passe, pensez à stopper le processus de CryptoHost en passant par
votre gestionnaire de tâche (accessible en faisant CTRL + ALT + Suppr). Dans la liste des processus
vous trouverez « CryptoHost.exe », il vous suffira de faire un clic-droit sur le processus et de choisir
l’option « arrêter le processus ».

Il faudra bien évidemment procéder à la suppression de CryptoHost par la suite en supprimant le
fichier suivant : C:\Users\Nom d’utilisateur\AppData\Roaming folder\cryptohost.exe.
Vous pouvez également supprimer la clé de registre correspondante en passant par votre éditeur de
registre : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software%AppData%\cryptohost.exe

Source : Logithèque

JIGSAW : le ransomware qui lance un compte à rebours et menace de détruire vos fichiers

Il laisse une heure à sa victime pour payer la rançon, puis commence à détruire les fichiers de l'ordinateur en accélérant son rythme toutes les heures. Si aucun paiement n’est effectué dans un délai de 72 heures, tous les fichiers restants disparaissent.

Inactiver Jigsaw puis déchiffrer les fichiers à l'aide d'un utilitaire
La première chose à faire, c’est d’ouvrir le gestionnaire de tâches de Windows et de terminer tous les processus appelés firefox.exe ou drpbx.exe qui ont été créés par le ransomware, indique Lawrence Abrams. Puis, il faut lancer l’utilitaire Windows MSConfig et supprimer l’entrée de démarrage pointant vers %UserProfile
%\AppData\Roaming\Frfx\firefox.exe. Cela arrêtera le processus de destruction des fichiers et empêchera le
malware de se relancer au redémarrage du système. Les utilisateurs pourront alors télécharger l’utilitaire "Jigsaw Decrypter" hébergé par BleepingComputer.com afin de déchiffrer leurs fichiers. Lorsque ce sera fait, il est hautement recommandé de télécharger un logiciel anti-malware à jour et de lancer un scan complet de son ordinateur pour désinstaller entièrement le ransomware.

Source : le Monde Informatique

Pour aller plus loin

A consulter dans notre rubrique : Cybercriminalité : attaques informatiques en cours et bonnes pratiques

Réunion d'information le 2 décembre à l'Agence Centre-Est (Vaulx-en-Velin)  : Matinale des Entreprises Centre-Est : Protéger ses informations stratégiques de la cybercriminalité dans un monde interconnecté