ransomware .xtbl - histoire longue [RESOLU]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

DMike92

ransomware .xtbl - histoire longue [RESOLU]

par DMike92 »

Bonjour,
J'espère avoir créé un nouveau sujet au bon endroit, sinon, n'hésitez pas à me le faire savoir.
Je pense avoir parcouru pas mal de littérature sur le sujet, y compris sur ce forum qui m'a toujours sauvé la vie et qui constitue pour moi la référence en matière de lutte.

J'écris ce long post pour donner des informations précises sur ce ransomware et poser une question (à la fin).

J'ai été infecté le 27 octobre à 18H30 sur un PC sous Windows Seven (appelons-le PC7) sur lequel je travaillais.
850 fichiers "seulement" on été cryptés.
La seule manoeuvre douteuse que j'aurais pu faire est d'ouvrir un fichier avec Word amené par une clef USB écrit à l'origine sous Open Office.

Comme je pensais que les langages de Macros n'étaient pas compatibles, je n'ai pas hésité.
Après avoir analysé par la suite la clef USB en la branchant dans Linux, je n'ai pas trouvé trace de virus (pas d'exécutable, visite de toutes les macros des documents Open Office et examen des fichiers autorun et autres .ini).
J'en arrive à me dire qu'elle n'est pas responsable et que j'ai du faire autre chose dont je ne me souviens plus.

Sur un autre PC sous XP (ne pas rire, merci) connecté au même réseau local (appelons-le PCX) j'ai constaté un fond d'écran entièrement rouge vif (au lieu de ma photo habituelle), constellée de petits carrés à la place de mes icônes habituelles.
Ces carrés étaient dus au fait que les extensions des fichiers avaient toutes changées de la manière suivante :
Par exemple, Lisezmoi.txt était devenu Lisezmoi.txt.id-94006D6D.{[email protected]}.xtbl
J'ai cru à un problème de base de registre et je suis revenu à la configuration de la veille (restauration au 26).
Malheureusement la sauvegarde journalière s'est mise en route à l'extinction et je l'ai trouvée très longue.
Au redémarrage, rien n'avait changé et le PCX était devenu très lent. Dans le gestionnaire de tâches le process payload_CHKS26_c.exe prenait 50% de la charge et je l'ai supprimé.
Comprenant alors que j'avais affaire à un virus, j'ai immédiatement débranché le câble Ethernet (physiquement).
J'ai fait d'autres essais de restauration à des dates plus anciennes mais sans résultat ("Le système n'a pas pu restaurer votre ordinateur...").

La nuit portant conseil, le 28 j'ai décidé de redémarrer mon PCX avec un live CD : HIREN.
J'ai fait une recherche sur tous les DD et ai effacé tous les fichiers dont le nom comportait payload_CHKS26_c
En particuliers Windows/system32/payload_CHKS26_c.exe
Puis j'ai été dans la BDR et ai supprimé l'entrée Run qui appelait ce programme (pas Run en entier, hein ;-).
J'ai quand même constaté qu'il avait eu le temps de crypter 55 303 fichiers qui sont donc tous inutilisables en l'état.
le plus ancien datait du 27 à 20H45.

L'ordinateur a bien redémarré sans exécuter de process douteux (je pense). Actuellement il tourne, débranché du réseau, et je ne peux que lire mes (anciens) mails ou analyser les fichiers en hexa.

Parmi les miracles : tout le courrier est intact (tous mes mails depuis 2005 avec Outlook Express) !
mais ce n'est pas de même pour les fichiers multimédia, en particulier mes photos entres-autres.
Le disque de sauvegarde a été touché mais je dirais à 20% et comme ma sauvegarde est incrémentale, les fichiers d'origine sauvegardés de la veille côtoient les fichiers cryptés :-)
Dans l'ensemble je m'en sors pas trop mal grâce à mes sauvegardes mais tous n'est pas sauvegardé (place disque).

Je ne comprends pas bien comment aucun process ne tourne (maintenant) sur PC7 (sans avoir rien fait) et comment, depuis PC7 le virus a pu s'introduire dans PCX et s'exécuter sans intervention humaine... ??

J'ai visité le site Kaspersky et vu ses 6 utilitaires de décryptage (N/A)
J'ai essayé ESETTrustezebADecoder.exe de ESET https://www.eset.com/int/about/newsroom ... ansomware/ avec un bon fichier et le même crypté mais là il me dit : Tailles différentes, veuillez choisir un autre !
Effectivement, la plupart de mes fichiers ont grossi d'environ 200 octets : des zéros en début de fichier (fichiers texte par ex.).

Enfin j'ai aussi essayé shadedecrypt (http://www.mcafee.com/fr/downloads/free ... crypt.aspx)
mais je n'ai eu aucun fichier "Readme" contenant la moindre information sur la démarche à suivre pour décrypter les fichiers (au plus j'aurai tenté d'envoyer un mail mais pas envoyé d'argent) ; c'est d'ailleurs encore possible bien que whois indique que le site 163.com ne doit pas être fermé (peut-être pour des raison d'examen de virus d'après ce que j'ai compris) et donc sans identifiant à chiffres permettant l'hypothétique décryptage.

J'ai également essayé FRST mais il a planté à la fin. J'ai tout de même un rapport conséquent que je pourrais poster mais je me suis débarrassé du virus - enfin - je pense !

J'en arrive donc la question : existe-t-il (déjà) un utilitaire de décryptage pour ce ransomware .xtbl ?
(Je garde mes fichiers au chaud selon vos conseils)

Un grand bravo pour m'avoir lu jusque là :-)

Merci,
Michel
Dernière modification par DMike92 le 30 mars 2017 23:48, modifié 1 fois.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: ransomware .xtbl - histoire longue

par Malekal_morte »

Salut,

Il s'agit de cette variante virus "encoder" - extensions .XTBL.


L'infection par un Word malicieux est possible > Exemple avec Dridex / Locky
Mais ces ransomwares sont aussi connus pour pirater des serveurs par des accès à distance RDP - il faut vérifier les comptes et changer les mots de passe.

Pour la récupération, il y aussi : http://esec-lab.sogeti.com/posts/2016/0 ... lware.html

Après, avec le temps, c'est peut-être corrigé.

~~

Si tu décoches tout sur FRST, ça plante quand même ?
et en mode sans échec ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DMike92

Re: ransomware .xtbl - histoire longue

par DMike92 »

Bonjour Malekal et un grand merci pour t'être penché sur mon problème (et ceux des autres :-).

Ta réponse m'a permis de me rapprocher du post auquel tu as déjà largement répondu :
http://forum.malekal.com/post426954.html#p426954 que je n'avais pas encore vu.

J'avoue que je n'ai pas essayé FRST en mode sans échec puisque j'ai viré le méchant avec le Live CD HIREN (très puissant).

Concernant l'utilitaire de Sogeti, il n'est pas compilé et je n'ai pas Delphi pour le faire :-(
Mais je suis prêt à l'essayer :-)

Merci pour ton soutien.
Pour l'instant j'ai acheté un nouveau DD et installé W7 Tout neuf et gardé les disques crypté dans mon tiroir !
Ils contiennent encore quelques fichiers qui me manquent ... mais l'espoir fait vivre ;-)

Bien amicalement,
Michel
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: ransomware .xtbl - histoire longue

par Malekal_morte »

De rien. PDT_008
J'espère que tu vas pouvoir le compiler.

As-tu aussi vérifié les versions précédentes des fichiers ?
Des fois qu'avec un peu de chance...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DMike92

Re: ransomware .xtbl - histoire longue

par DMike92 »

Malekal_morte a écrit :De rien. PDT_008
J'espère que tu vas pouvoir le compiler.
Euh non je n'ai pas Delphi !
Et ce que je suis prêt à essayer c'est la version compilée, pas la compilation elle-même !
Malekal_morte a écrit :As-tu aussi vérifié les versions précédentes des fichiers ?
Des fois qu'avec un peu de chance...
Hélas comme je disais j'étais sur XP pour les 55000 fichiers et pour W7 la sauvegarde/restauration n'était pas désactivée mais il n'y a rien à récupérer.
Attendu trop longtemps peut-être ?

Je vais surveiller les différents sites trouvés sur ton site pour voir si un utilitaire se dessine...
En tous cas, merci PDT_003
Michel
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: ransomware .xtbl - histoire longue

par Malekal_morte »

ok pas de chance... PDT_013
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DMike92

Re: ransomware .xtbl - histoire longue

par DMike92 »

Bonjour,

Juste pour voir (et pas pour payer) j'ai écrit à l'adresse mail donnée dans le suffixe de tous mes fichiers.
Ils m'ont répondu et me disent qu'il peuvent, non seulement me donner le moyen de décrypter mes fichiers, mais aussi de mieux protéger mon ordinateur (c'est facile, il n'y avait pas d'antivirus !).

Le coût est de 1,8 bitcoins (environ 1 150 dollars) si je paye dans les 24H ou 3,5 après. (environ 2 200 dollars)
Je constate donc que les "criminels" sont toujours aux manettes. Dois-je prévenir les autorités ? Lesquelles ?

Merci PDT_001
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: ransomware .xtbl - histoire longue

par Malekal_morte »

Ouais ce sera peut-être pas la même chanson après avoir payé.
Pis bon pour sécuriser ton ordinateur, t'as pas besoin de payer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: ransomware .xtbl - histoire longue

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DMike92

Re: ransomware .xtbl - histoire longue

par DMike92 »

Un peu + de détails technique (après de nombreux mails avec l'auteur).
Dans mon dernier mail je lui demandais (naïvement) s'il fallait que je lui envoie tous mes fichiers pour être décryptés. Voici sa réponse :
Greetings,
You don't need to send All files to us. After we confirm Your payment, we will send You decrypting software, that will generate Your unique encryption Key. You will send it to us and our team will decrypt it. We will send decryption key to You, You will use our decryption software with this Key and decrypt ALL Your data on Your PC. You will have 100% data restored + we will give You instructions on how to protect Your data in future

Waiting for Your response
Thank You!
Donc :
- Il envoie un prog pour générer une clef
- Je lance le prog et je lui retransmet la clef générée
- Il me fournit un autre prog + une autre clef
- J'utilise le prog avec cette clef et ça décrypte !

Ça donne une idée de la complexité...

NB : Il parle de Team mais au vu du style, j'ai l'impression que c'est toujours le même qui me répond et assez vite. Il doit s'ennuyer ou ne pas avoir beaucoup de travail ;-)
DMike92

Re: ransomware .xtbl - histoire longue

par DMike92 »

CA Y EST !
Le décryptage est enfin possible grace à Trend Micro.
Merci à Korben pour me l'avoir fait découvrir :
https://korben.info/recuperer-fichiers- ... mware.html
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: ransomware .xtbl - histoire longue [RESOLU]

par Malekal_morte »

il se trouve aussi sur cette page : DecryptTool : déchiffrer les ransomwares qui énumère tous les outils des éditeurs de sécurité qui permet de récupérer ses fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »