Rançongiciel Jigsaw

Aussi connu comme: Jigsaw virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel .Fun

Qu'est-ce que .Fun?

.Fun est un rançongiciel qui utilise l’algorithme AES pour encrypter divers fichiers stockés dans l’ordinateur de la victime. Les types de fichiers ciblés incluent .jpg, .docx, .mp3, .mp4 et plusieurs autres. Dépendamment de la version du rançongiciel, il ajoute une des extensions de fichiers suivantes : .fun, .kkk, ou .btc. Après le cryptage des fichiers, ce rançongiciel affichera une fenêtre avec un message énonçant que les fichiers sont encryptés et que les victimes peuvent seulement les restaurer en payant une rançon. Comme si ce n’était pas assez, chaque 60 minutes .Fun supprime un certain nombre de fichiers, donc, plus la victime tarde à payer, plus il y a aura de fichiers supprimés permanent.

La taille de la rançon est équivalente à 150$ et elle doit être payée en Bitcoin. Notez que le paiement doit être fait en dedans de 24 heures après l’infection. La fenêtre du rançongiciel contient un compteur de 60 minutes qui indique combien il reste de temps jusqu’à la prochaine suppression de fichier. Au début, ce rançongiciel supprime un fichier, cependant, à chaque 60 minute le nombre de fichiers qui seront supprimés augmente. En plus, chaque fois que la victime redémarre l’ordinateur ou se débrouille pour ré exécuté ce rançongiciel, il supprimera 1000 fichiers. Selon le message, tous les fichiers seront supprimés en dedans de 72 heures. Tel que mentionné auparavant, ce rançongiciel utilise AES – un algorithme de cryptage asymétrique, ce qui signifie que des clefs publiques et privées sont générées durant le cryptage. Afin de décrypter les fichiers les victimes doivent supposément acheter la clef privée de cybers criminels. Heureusement, MalwareHunterTeam aux côtés de DemonSlay335 et de Lawrence Abrams ont été capables de développer un outil capable de décrypter les fichiers compromis par ce rançongiciel (lien de téléchargement). Donc, vous n’avez pas besoin de payer la rançon. Cependant, sachez qu’il est plus que probable qu’il sera impossible de restaurer les fichiers affectés par les virus de types rançongiciels sans la clef privée. Dans ce cas vous devriez restaurer le système et/ou les fichiers à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à contacter les développeurs du rançongiciel .Fun pour décrypter leurs données compromises :

Instructions de décryptage de .Fun

Ce rançongiciel est très similaire à des centaines d’autres virus qui encrypte les fichiers des victimes en utilisant le cryptage asymétrique, par exemple, Locky, Cerber, Locker, CTB-Locker et CryptoWall. Chacun infiltre le système, encrypte les fichiers et demande ensuite une rançon. La principale différence est le type d’algorithme utilisé et la taille de la rançon. Les chances sont fortes que vos fichiers ne seront pas décryptés même si vous payez la rançon. Donc, vous ne devriez jamais payer, ni tenter de contacter les cybers criminels. En faisant cela vous supporteriez simplement leurs entreprises malicieuses. La vaste majorité des logiciels de types rançongiciels sont distribué via de fausses mises à jour de logiciels, des trojans, des pièces-jointes malicieuses et/ou des réseaux pair à pair (P2P), tels que des Torrents. Donc, assurez-vous toujours de garder les logiciels installés à jour, utilisez également une suite antivirus/anti logiciel espion légitime. De plus, vous devriez être très prudent quand vous téléchargez des fichiers envoyés à partir d’emails suspects/non reconnus et de sources de tierces parties.

Message demandant une rançon :

Vos fichiers d’ordinateur ont été encryptés. Vos photos, vidéos, documents, etc…
Mais ne vous inquiétez pas! Je ne les ai pas supprimés, pas encore.
Vous avez 24 heures pour payer 150$ USD en Bitcoins afin d’obtenir la clef de décryptage.
Chaque heure des fichiers seront supprimés. Leur nombre augmentant chaque fois.
Après 72 heures tous ceux qui restent seront supprimés.

Si vous n’avez pas de bitcoins rechercher sur Google le site web localbitcoins.
Achetez 150$ USD en bitcoins ou .4 BTC. Le système acceptera l’un ou l’autre.
Envoyer à l’adresse Bitcoins spécifiée.
Dans les deux minutes suivant la réception de votre paiement votre ordinateur recevra la clef de décryptage et reviendra normal.
Essayer quelque chose de bizarre et l’ordinateur et l’ordinateur à plusieurs mesures de sécurité pour supprimer vos fichiers.
Aussitôt que le paiement est reçu les fichiers cryptés reviendront normaux.

Merci.

Le rançongiciel .Fun fournit une liste des fichiers encryptés:

Liste des fichiers encryptés par .Fun

Capture d'écran d'un dossier qui contient les fichiers encryptés (avec l'extension .fun ajoutée):

Fichiers encryptés par le rançongiciel .Fun

Types de fichiers ciblés par ce rançongiciel :

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

Capture d'écran du décrypteur JigSaw :

Décrypteur du rançongiciel .Fun

Les victimes devraient exécuter les étapes suivantes avant d’utiliser le décrypteur :

1. Lancer votre Gestionnaire de Tâches (ctrl + alt + supprimer et choisissez Gestionnaire de Tâches) et désactiver le processus nommé ‘’Firefox’’:

Éliminer le rançongiciel .Fun dans le gestionnaire de tâches

2. Sélectionner l’onglet ‘’Démarrage’’ et désactiver l’entrée de démarrage ‘’Firefox’’ :

Désactiver le démarrage du rançongiciel .Fun

Après cette procédure vous devriez télécharger le décrypteur Jigsaw, lancez-le, sélectionner votre disque dur, et cliquer ''Décrypter Mes Fichiers''.

Vidéo montrant comment décrypter les fichiers compromis par le rançongiciel .Fun :

Suppression du rançongiciel .Fun :

Suppression instantanée automatique de Jigsaw virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Malwarebytes est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Jigsaw virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Malwarebytes Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus .Fun. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel .Fun ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants du rançongiciel .Fun .

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de .Fun sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par .Fun, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

 Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel .Fun).

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Source: https://www.pcrisk.com/removal-guides/9942-fun-ransomware

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Jigsaw virus Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Jigsaw virus sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Jigsaw virus aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Malwarebytes

Plateforme: Windows

Note de l’éditeur pour Malwarebytes:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible.