Le ransomware JobCrypter

Ce rançongiciel chiffre les données des victimes avec la technologie 3DES (TripleDES) et exige une rançon pour récupérer les fichiers.

JobCrypter a longtemps ciblé les pays francophones. Les notes de demande de rançon étaient toutes rédigées en français.

Pour déverrouiller les fichiers, il était réclamé aux victimes de payer 300 euros via PaySafeCard puis jusqu'à 1000 euros en bitcoins par la suite.
Le sens du mot « JobCrypter » (emploi + rançongiciel) semble destiné à justifier les actions frauduleuses des pirates qui seraient au chômage,
sans emploi ni ressource... Etonnement, de nombreux ordinateurs victimes du ransomware JobCrypter ont été initialement découverts en Lituanie.

Ce ransomware a surtout été actif entre 2016 à 2021.

Les fichiers de demande de rançon se nommaient « Comment débloquer mes fichiers.txt » ( How to unlock my files) ou « Readme.txt ».
Par la suite, les exigeances des criminels ont été directement écrites au début de chaque fichier crypté avec leurs coordonnées emails.
La rédaction en français comporte de nombreuses fautes de syntaxe, grammaire et ortographe : bien que le sens reste limpide, le français ne semble pas être la langue maternelle des extorqueurs.

  • Exemple du contenu de la note de rançon nommée « Comment débloquer mes fichiers.txt » : 
    Bonjour, nous sommes des êtres humains sans emploi, on cherche pas les problèmes,
on veux juste nourrir nos familles. Nous vous demandons de ne pas être faire de bêtises avec nous.

Parce que ce n'est pas bien pour vous.

Nous avons crypté tous vos fichiers en utilisant un Algorithme personnel et nous demandons de nous Payer une rançon de 300 EUROS pour débloquer vos fichiers.

Nous vous garantissons le déblocage total de vos fichiers et de ne plus jamais entendre parler de nous.

Moyen de Payement :
Le paiement peut s'effectuer en utilisant les cartes de Paysafecard disponibles partout en France, voici le lien pour trouver rapidement les points de ventes les plus proches de chez vous:https://wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/

Toute demande de déblocage sans Payer sera automatiquement rejetée.

Nous acceptons seulement les cartes de 50 EUROS et 100 EUROS,
veuillez envoyer les codes des cartes à l'un des e-Mails suivant:

geniesanstravaille@outlook.fr

geniesanstravaille@yahoo.fr

geniesanstravaille@gmail.com

N'oubliez pas de préciser l'identifiant de votre Ordinateur dans l'objet du message, Voici votre identifiant: 0F57D149

En guise de bonne volonté et pour vous prouver que ce n'est pas une arnaque, nous allons décrypter un fichier gratuitement pour vous.
Veuillez nous envoyer un de vos fichiers cryptés en pièce jointe à l'un des courriels cité au-dessus et n'oubliez pas de préciser aussi l'identifiant de votre ordinateur pour que nous puissions localiser votre de décryptage parmi celles de nos clients.

Vous aurez une réponse avec le Code de déblocage le jour même du payement.

Veuillez nous excuser pour le désagrément.


    • L'extension .css à la fin des fichiers cryptés a été fréquemment utilisée par le ransomware JobCrypter. Les extensions .locked et .txt existent aussi.

    La diffusion de cette menace s'est souvent déroulée par des campagnes de mails frauduleux imitant des émetteurs connus (assurances, banques, etc...) avec présence dans les messages de liens de téléchargement de fichiers infectés se faisant passer pour des documents importants (avis d'échéance, factures, ...).

  • Voici quelques exemples d'adresses emails et moyens de contacter les hackeurs diffusés par le ransomware JobCryter :
    Avec l'extension .locked :

geniesanstravaille@outlook.fr
geniesanstravaille@yahoo.fr
geniesanstravaille@gmail.com
--
Avec l'extension .css :

frthnfdsgalknbvfkj@outlook.fr
frthnfdsgalknbvfkj@yahoo.com
frthnfdsgalknbvfkj@gmail.com

hotline@adpresence.net
booba.karis2542@gmail.com

patrick4452@protonmail.com
--
Avec l'extension .css et la variante Die Hard 4 :

Tor URL: http://diehard4uty2z5cs.onion
JOBCRYTER@protonmail.com
WarlockdeDieHard4@protonmail.com
--
Avec l'extension .txt :

Olivier92747@protonmail.com
olaggoune235@protonmail.ch
ouardia11@tutanota.com

    • Bien que le ransomware JobCrypter soit ancien, il n'existe aucun décrypteur public téléchargeable pour récupérer les fichiers cryptés.

    Je vous recommande de contacter le développeur informatique Michael Gillespie sur le réseau social X ou le forum de Bleeping Computer dédié au ransomware JobCrypter. Michael Gillespie, alias @Demonslay335, ainsi que Fabien Wosar (@fwosar) sont connus pour avoir déjà aidé de nombreuses victimes de ransomwares et développé beaucoup de décrypteurs de fichiers chiffrés qui ont été mis à la disposition du grand public gratuitement. Ils ont travaillé pour ça en collaboration étroite avec l'éditeur en solutions de sécurité informatique Emisoft. Vous pouvez trouver plusieurs de ces décrypteurs gratuits sur la page du site web d'Emisoft dédiée à cet objet. Sans décrypteur public, il est recommandé de prendre contact avec Michael Gillespie.

    Vos fichiers ont été cryptés par le ransomware JobCrypter ? Vous avez besoin d'aide ?

    Vous pouvez utiliser notre formulaire de contact et nous faire parvenir quelques fichiers cryptés et un exemplaire de la note de rançon.

    Nous prendrons soin d'analyser vos fichiers, de chercher une solution si elle existe et de vous faire une réponse personnalisée.

    Vous trouverez de nombreuses informations au sujet du ransomware JobCrypter dans l'encyclopédie en ligne sur les ransomwares conçue par Andrew Ivanov (Amigo-A sur X) consultable ici.

    Détail interressant : un hacker exploitant le ransomware JobCrypter a été arrêté en 2021. Source : ZDNET France.
    Néanmoins, cela n'a pas permis de récupérer des clés de décryptage (contrairement à ce qui arrive parfois dans d'autres interventions policières avec saisies des serveurs des hackers).

    Conseils : nous vous recommandons d'effectuer à intervalles réguliers des sauvegardes des données importantes sur un support externe afin de pouvoir les récupérer facilement en cas de besoin. Après une attaque par un ransomware, il est recommandé :

    - de porter plainte auprès des autorités compétentes. Consultez les sites :
    www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares et www.nomoreransom.org/fr/report-a-crime.html.
    - de sauvegarder régulièrement les données critiques pour éviter toute perte ;
    - de désactiver ou au moins sécuriser le protocole RDP (à l'aide d'un VPN et en limitant l'accès à distance aux utilisateurs de confiance) ;
    - d’utiliser un mot de passe plus fort pour les utilisateurs disposant d'un accès autorisé ;
    - de mettre en place un mot de passe pour protéger vos paramètres antivirus et empêcher sa désactivation ou sa désinstallation par des personnes non autorisées ;
    - d’activer en permanence la détection par votre antivirus des applications et logiciels téléchargés et utilisés sur votre poste.

    Nous vous proposons d’acquérir une licence antivirus Kaspersky en promotion de 40 % en cliquant ici : www.winrar-france.com/store/-c23908855.


    Formulaire de contact d'aide au décryptage des ransomwares : www.adc-soft.com/decryptage/ransomware.php.

    ADC-Soft | 3, rue Paul Bert - 92100 Boulogne-Billancourt (France)
    Partenaire officiel de Doctor Web | Twitter X :@Emm_ADC_Soft