Bonjour,
J'espère avoir créé un nouveau sujet au bon endroit, sinon, n'hésitez pas à me le faire savoir.
Je pense avoir parcouru pas mal de littérature sur le sujet, y compris sur ce forum qui m'a toujours sauvé la vie et qui constitue pour moi la référence en matière de lutte.
J'écris ce long post pour donner des informations précises sur ce ransomware et poser une question (à la fin).
J'ai été infecté le 27 octobre à 18H30 sur un PC sous Windows Seven (appelons-le PC7) sur lequel je travaillais.
850 fichiers "seulement" on été cryptés.
La seule manoeuvre douteuse que j'aurais pu faire est d'ouvrir un fichier avec Word amené par une clef USB écrit à l'origine sous Open Office.
Comme je pensais que les langages de Macros n'étaient pas compatibles, je n'ai pas hésité.
Après avoir analysé par la suite la clef USB en la branchant dans Linux, je n'ai pas trouvé trace de virus (pas d'exécutable, visite de toutes les macros des documents Open Office et examen des fichiers autorun et autres .ini).
J'en arrive à me dire qu'elle n'est pas responsable et que j'ai du faire autre chose dont je ne me souviens plus.
Sur un autre PC sous XP (ne pas rire, merci) connecté au même réseau local (appelons-le PCX) j'ai constaté un fond d'écran entièrement rouge vif (au lieu de ma photo habituelle), constellée de petits carrés à la place de mes icônes habituelles.
Ces carrés étaient dus au fait que les extensions des fichiers avaient toutes changées de la manière suivante :
Par exemple, Lisezmoi.txt était devenu Lisezmoi.txt.id-94006D6D.{[email protected]}.xtbl
J'ai cru à un problème de base de registre et je suis revenu à la configuration de la veille (restauration au 26).
Malheureusement la sauvegarde journalière s'est mise en route à l'extinction et je l'ai trouvée très longue.
Au redémarrage, rien n'avait changé et le PCX était devenu très lent. Dans le gestionnaire de tâches le process payload_CHKS26_c.exe prenait 50% de la charge et je l'ai supprimé.
Comprenant alors que j'avais affaire à un virus, j'ai immédiatement débranché le câble Ethernet (physiquement).
J'ai fait d'autres essais de restauration à des dates plus anciennes mais sans résultat ("Le système n'a pas pu restaurer votre ordinateur...").
La nuit portant conseil, le 28 j'ai décidé de redémarrer mon PCX avec un live CD : HIREN.
J'ai fait une recherche sur tous les DD et ai effacé tous les fichiers dont le nom comportait payload_CHKS26_c
En particuliers Windows/system32/payload_CHKS26_c.exe
Puis j'ai été dans la BDR et ai supprimé l'entrée Run qui appelait ce programme (pas Run en entier, hein ;-).
J'ai quand même constaté qu'il avait eu le temps de crypter 55 303 fichiers qui sont donc tous inutilisables en l'état.
le plus ancien datait du 27 à 20H45.
L'ordinateur a bien redémarré sans exécuter de process douteux (je pense). Actuellement il tourne, débranché du réseau, et je ne peux que lire mes (anciens) mails ou analyser les fichiers en hexa.
Parmi les miracles : tout le courrier est intact (tous mes mails depuis 2005 avec Outlook Express) !
mais ce n'est pas de même pour les fichiers multimédia, en particulier mes photos entres-autres.
Le disque de sauvegarde a été touché mais je dirais à 20% et comme ma sauvegarde est incrémentale, les fichiers d'origine sauvegardés de la veille côtoient les fichiers cryptés :-)
Dans l'ensemble je m'en sors pas trop mal grâce à mes sauvegardes mais tous n'est pas sauvegardé (place disque).
Je ne comprends pas bien comment aucun process ne tourne (maintenant) sur PC7 (sans avoir rien fait) et comment, depuis PC7 le virus a pu s'introduire dans PCX et s'exécuter sans intervention humaine... ??
J'ai visité le site Kaspersky et vu ses 6 utilitaires de décryptage (N/A)
J'ai essayé ESETTrustezebADecoder.exe de ESET https://www.eset.com/int/about/newsroom ... ansomware/ avec un bon fichier et le même crypté mais là il me dit : Tailles différentes, veuillez choisir un autre !
Effectivement, la plupart de mes fichiers ont grossi d'environ 200 octets : des zéros en début de fichier (fichiers texte par ex.).
Enfin j'ai aussi essayé shadedecrypt (http://www.mcafee.com/fr/downloads/free ... crypt.aspx)
mais je n'ai eu aucun fichier "Readme" contenant la moindre information sur la démarche à suivre pour décrypter les fichiers (au plus j'aurai tenté d'envoyer un mail mais pas envoyé d'argent) ; c'est d'ailleurs encore possible bien que whois indique que le site 163.com ne doit pas être fermé (peut-être pour des raison d'examen de virus d'après ce que j'ai compris) et donc sans identifiant à chiffres permettant l'hypothétique décryptage.
J'ai également essayé FRST mais il a planté à la fin. J'ai tout de même un rapport conséquent que je pourrais poster mais je me suis débarrassé du virus - enfin - je pense !
J'en arrive donc la question : existe-t-il (déjà) un utilitaire de décryptage pour ce ransomware .xtbl ?
(Je garde mes fichiers au chaud selon vos conseils)
Un grand bravo pour m'avoir lu jusque là :-)
Merci,
Michel
ransomware .xtbl - histoire longue [RESOLU]
Modérateurs : Mods Windows, Helper
ransomware .xtbl - histoire longue [RESOLU]
Dernière modification par DMike92 le 30 mars 2017 23:48, modifié 1 fois.
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: ransomware .xtbl - histoire longue
Salut,
Il s'agit de cette variante virus "encoder" - extensions .XTBL.
L'infection par un Word malicieux est possible > Exemple avec Dridex / Locky
Mais ces ransomwares sont aussi connus pour pirater des serveurs par des accès à distance RDP - il faut vérifier les comptes et changer les mots de passe.
Pour la récupération, il y aussi : http://esec-lab.sogeti.com/posts/2016/0 ... lware.html
Après, avec le temps, c'est peut-être corrigé.
~~
Si tu décoches tout sur FRST, ça plante quand même ?
et en mode sans échec ?
Il s'agit de cette variante virus "encoder" - extensions .XTBL.
L'infection par un Word malicieux est possible > Exemple avec Dridex / Locky
Mais ces ransomwares sont aussi connus pour pirater des serveurs par des accès à distance RDP - il faut vérifier les comptes et changer les mots de passe.
Pour la récupération, il y aussi : http://esec-lab.sogeti.com/posts/2016/0 ... lware.html
Après, avec le temps, c'est peut-être corrigé.
~~
Si tu décoches tout sur FRST, ça plante quand même ?
et en mode sans échec ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: ransomware .xtbl - histoire longue
Bonjour Malekal et un grand merci pour t'être penché sur mon problème (et ceux des autres :-).
Ta réponse m'a permis de me rapprocher du post auquel tu as déjà largement répondu :
http://forum.malekal.com/post426954.html#p426954 que je n'avais pas encore vu.
J'avoue que je n'ai pas essayé FRST en mode sans échec puisque j'ai viré le méchant avec le Live CD HIREN (très puissant).
Concernant l'utilitaire de Sogeti, il n'est pas compilé et je n'ai pas Delphi pour le faire :-(
Mais je suis prêt à l'essayer :-)
Merci pour ton soutien.
Pour l'instant j'ai acheté un nouveau DD et installé W7 Tout neuf et gardé les disques crypté dans mon tiroir !
Ils contiennent encore quelques fichiers qui me manquent ... mais l'espoir fait vivre ;-)
Bien amicalement,
Michel
Ta réponse m'a permis de me rapprocher du post auquel tu as déjà largement répondu :
http://forum.malekal.com/post426954.html#p426954 que je n'avais pas encore vu.
J'avoue que je n'ai pas essayé FRST en mode sans échec puisque j'ai viré le méchant avec le Live CD HIREN (très puissant).
Concernant l'utilitaire de Sogeti, il n'est pas compilé et je n'ai pas Delphi pour le faire :-(
Mais je suis prêt à l'essayer :-)
Merci pour ton soutien.
Pour l'instant j'ai acheté un nouveau DD et installé W7 Tout neuf et gardé les disques crypté dans mon tiroir !
Ils contiennent encore quelques fichiers qui me manquent ... mais l'espoir fait vivre ;-)
Bien amicalement,
Michel
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: ransomware .xtbl - histoire longue
De rien.
J'espère que tu vas pouvoir le compiler.
As-tu aussi vérifié les versions précédentes des fichiers ?
Des fois qu'avec un peu de chance...
J'espère que tu vas pouvoir le compiler.
As-tu aussi vérifié les versions précédentes des fichiers ?
Des fois qu'avec un peu de chance...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: ransomware .xtbl - histoire longue
Euh non je n'ai pas Delphi !Malekal_morte a écrit :De rien.
J'espère que tu vas pouvoir le compiler.
Et ce que je suis prêt à essayer c'est la version compilée, pas la compilation elle-même !
Hélas comme je disais j'étais sur XP pour les 55000 fichiers et pour W7 la sauvegarde/restauration n'était pas désactivée mais il n'y a rien à récupérer.Malekal_morte a écrit :As-tu aussi vérifié les versions précédentes des fichiers ?
Des fois qu'avec un peu de chance...
Attendu trop longtemps peut-être ?
Je vais surveiller les différents sites trouvés sur ton site pour voir si un utilitaire se dessine...
En tous cas, merci
Michel
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: ransomware .xtbl - histoire longue
ok pas de chance...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: ransomware .xtbl - histoire longue
Bonjour,
Juste pour voir (et pas pour payer) j'ai écrit à l'adresse mail donnée dans le suffixe de tous mes fichiers.
Ils m'ont répondu et me disent qu'il peuvent, non seulement me donner le moyen de décrypter mes fichiers, mais aussi de mieux protéger mon ordinateur (c'est facile, il n'y avait pas d'antivirus !).
Le coût est de 1,8 bitcoins (environ 1 150 dollars) si je paye dans les 24H ou 3,5 après. (environ 2 200 dollars)
Je constate donc que les "criminels" sont toujours aux manettes. Dois-je prévenir les autorités ? Lesquelles ?
Merci
Juste pour voir (et pas pour payer) j'ai écrit à l'adresse mail donnée dans le suffixe de tous mes fichiers.
Ils m'ont répondu et me disent qu'il peuvent, non seulement me donner le moyen de décrypter mes fichiers, mais aussi de mieux protéger mon ordinateur (c'est facile, il n'y avait pas d'antivirus !).
Le coût est de 1,8 bitcoins (environ 1 150 dollars) si je paye dans les 24H ou 3,5 après. (environ 2 200 dollars)
Je constate donc que les "criminels" sont toujours aux manettes. Dois-je prévenir les autorités ? Lesquelles ?
Merci
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: ransomware .xtbl - histoire longue
Ouais ce sera peut-être pas la même chanson après avoir payé.
Pis bon pour sécuriser ton ordinateur, t'as pas besoin de payer.
Pis bon pour sécuriser ton ordinateur, t'as pas besoin de payer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: ransomware .xtbl - histoire longue
Une nouvelle victime : Ransomware XTBL centurion_legion_aol.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: ransomware .xtbl - histoire longue
Un peu + de détails technique (après de nombreux mails avec l'auteur).
Dans mon dernier mail je lui demandais (naïvement) s'il fallait que je lui envoie tous mes fichiers pour être décryptés. Voici sa réponse :
- Il envoie un prog pour générer une clef
- Je lance le prog et je lui retransmet la clef générée
- Il me fournit un autre prog + une autre clef
- J'utilise le prog avec cette clef et ça décrypte !
Ça donne une idée de la complexité...
NB : Il parle de Team mais au vu du style, j'ai l'impression que c'est toujours le même qui me répond et assez vite. Il doit s'ennuyer ou ne pas avoir beaucoup de travail ;-)
Dans mon dernier mail je lui demandais (naïvement) s'il fallait que je lui envoie tous mes fichiers pour être décryptés. Voici sa réponse :
Donc :Greetings,
You don't need to send All files to us. After we confirm Your payment, we will send You decrypting software, that will generate Your unique encryption Key. You will send it to us and our team will decrypt it. We will send decryption key to You, You will use our decryption software with this Key and decrypt ALL Your data on Your PC. You will have 100% data restored + we will give You instructions on how to protect Your data in future
Waiting for Your response
Thank You!
- Il envoie un prog pour générer une clef
- Je lance le prog et je lui retransmet la clef générée
- Il me fournit un autre prog + une autre clef
- J'utilise le prog avec cette clef et ça décrypte !
Ça donne une idée de la complexité...
NB : Il parle de Team mais au vu du style, j'ai l'impression que c'est toujours le même qui me répond et assez vite. Il doit s'ennuyer ou ne pas avoir beaucoup de travail ;-)
Re: ransomware .xtbl - histoire longue
CA Y EST !
Le décryptage est enfin possible grace à Trend Micro.
Merci à Korben pour me l'avoir fait découvrir :
https://korben.info/recuperer-fichiers- ... mware.html
Le décryptage est enfin possible grace à Trend Micro.
Merci à Korben pour me l'avoir fait découvrir :
https://korben.info/recuperer-fichiers- ... mware.html
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: ransomware .xtbl - histoire longue [RESOLU]
il se trouve aussi sur cette page : DecryptTool : déchiffrer les ransomwares qui énumère tous les outils des éditeurs de sécurité qui permet de récupérer ses fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 105 Vues
-
Dernier message par Malekal_morte
-
- 1 Réponses
- 78 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 82 Vues
-
Dernier message par Parisien_entraide
-
- 12 Réponses
- 154 Vues
-
Dernier message par Parisien_entraide
-
- 7 Réponses
- 99 Vues
-
Dernier message par Malekal_morte