[Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Throlan
Messages : 2
Inscription : 17 août 2016 08:43

[Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

Message par Throlan » 17 août 2016 09:01

Bonjour,

Comme beaucoup de serveurs Windows, le miens s'est retrouvé infecté par un violent ransomware .xtbl qui a encrypté tous les fichiers auxquels il avait accès, ils ont tous une extension .{opencode@india.com}.xtbl

En fouillant un peu sur le forum j'ai trouvé la procédure FRST.

FRST : http://pjjoint.malekal.com/files.php?id ... 10j9s10g13
Addition : http://pjjoint.malekal.com/files.php?id ... c6o13s15z7
Shortcut : http://pjjoint.malekal.com/files.php?id ... 11p14g7s14

Merci par avance pour toute l'aide que vous pourrez m'apporter.

Les points de restauration ont tous été supprimés !
Est ce qu'il y a un moyen de récupérer les fichiers ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86556
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection par un ransomware xtbl

Message par Malekal_morte » 17 août 2016 09:30

Bonjour,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Possible intrusion par bruteforce RDP à cause de d'identifiants trop faibles. TeamViewer a aussi connu quelques déboires. Il faut mieux s'informer et vraiment songer à sécuriser tout ça.

Avec tous les programmes de désinfection passés, il semble avoir été supprimé ou il n'était pas résident.

Il reste ceci :
Startup: C:\Users\standard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ_DECRYPT DATA INSTRUCTIONS.jpg [2016-08-15] ()
Startup: C:\Users\standard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ_DECRYPT DATA INSTRUCTIONS.txt [2016-08-15] ()
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur READ_DECRYPT DATA INSTRUCTIONS.txt et supprime les fichiers trouvés.

Pour déchiffrer les fichiers, comme il n'y a pas de sauvegardes, croise les doigts.
Lire http://esec-pentest.sogeti.com/posts/20 ... lware.html
et regarde ici https://noransom.kaspersky.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Throlan
Messages : 2
Inscription : 17 août 2016 08:43

Re: Windows Server 2008 R2 infecté, ransomware .XTBL

Message par Throlan » 17 août 2016 11:09

Merci beaucoup pour cette réponse rapide. Malheureusement, aucun utilitaire n'a fonctionné, c'est dommage.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86556
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2008 R2 infecté, ransomware .XTBL

Message par Malekal_morte » 17 août 2016 16:05

Comme c'est souvent le cas... il faut veiller au bon fonctionnement des sauvegardes PDT_033
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86556
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

Message par Malekal_morte » 31 mars 2017 09:48

Suivre cette page : DecryptTool : déchiffrer les ransomwares qui énumère tous les outils des éditeurs de sécurité qui permet de récupérer ses fichiers.
Certains visent .XTBL
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86556
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

Message par Malekal_morte » 18 mai 2017 21:02

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 13 invités