Windows Server 2012 R2 infecté, fichiers en otage .XTBL

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

snakeuu
Messages : 2
Inscription : 13 août 2016 10:17

Windows Server 2012 R2 infecté, fichiers en otage .XTBL

Message par snakeuu » 13 août 2016 10:46

Bonjour,

J’interviens sur un serveur qui a été infecté, une grande partie des fichiers portent l'extension .XTBL Windows n'était pas protégé et les sauvegardes n'ont jamais démarrées lol ... J'ai suivis le tutoriel de Malekal et voici les rapports. J'aimerais si possible déchiffrer les fichiers et récupérer les précieuses données avant de désinfecter mais à ce que j'ai vu ça semble impossible, il va falloir payer ?

http://pjjoint.malekal.com/files.php?re ... 7j7e7h14h9
http://pjjoint.malekal.com/files.php?re ... m7q7m6f9b5
http://pjjoint.malekal.com/files.php?re ... 3f5u5l10w8

Merci d'avance pour votre aide.

Sn

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86158
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2012R2 infecté, extension .XTBL

Message par Malekal_morte » 13 août 2016 12:04

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Possible intrusion par bruteforce RDP à cause de d'identifiants trop faibles. TeamViewer a aussi connu quelques déboires. Il faut mieux s'informer et vraiment songer à sécuriser tout ça.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webcamp (2).lnk.id-AA043646.{radxlove7@india.com}.xtbl [2016-08-13]
Startup: C:\Users\tse1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-13] ()
Startup: C:\Users\tse1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-13] ()
Startup: C:\Users\tse1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-08-13] ()
HKLM\...\Run: [Payload.exe] => C:\Windows\System32\Payload.exe
C:\Windows\System32\Payload.exe
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

snakeuu
Messages : 2
Inscription : 13 août 2016 10:17

Re: Windows Server 2012R2 infecté, extension .XTBL

Message par snakeuu » 13 août 2016 12:34

Merci beaucoup pour le coup de main, Malekal !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86158
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2012 R2 infecté, fichiers en otage .XTBL

Message par Malekal_morte » 13 août 2016 13:17

PDT_008

Pour déchiffrer les fichiers, comme il n'y a pas de sauvegardes, croise les doigts. Lire http://esec-pentest.sogeti.com/posts/20 ... lware.html et regarde ici https://noransom.kaspersky.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86158
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2012 R2 infecté, fichiers en otage .XTBL

Message par Malekal_morte » 18 mai 2017 21:02

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Bing [Bot] et 3 invités