Windows Server 2008 R2 infecté, fichiers cryptés en .XTBL

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

PierrePETIT

Windows Server 2008 R2 infecté, fichiers cryptés en .XTBL

par PierrePETIT »

Bonjour,

Les fichiers de mon Windows Server 2008 R2 ont été cryptés avec des extensions de fichiers en .XTBL

FRST.txt : http://pjjoint.malekal.com/files.php?id ... 12d7g8o8z5

ADDITION.txt : http://pjjoint.malekal.com/files.php?id ... 0s11w10o13

SHORTCUT.txt : http://pjjoint.malekal.com/files.php?id ... 3n8i11j7c7

Pouvez-vous m'aider ?

Merci en tous cas de votre solidarité.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: fichiers cryptés en .XTBL par un virus

par Malekal_morte »

Salut,

ouaip :
2016-04-11 20:34 - 2016-04-11 20:34 - 00000631 ___SH C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000631 ___SH C:\Users\Aurore\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000567 ___SH C:\Users\Philippe\Documents\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000567 ___SH C:\Users\Aurore\Documents\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Public\Documents\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Philippe\Downloads\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Philippe\Desktop\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Aurore\Downloads\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Aurore\Desktop\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000327 ___SH C:\Users\Public\Downloads\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000327 ___SH C:\Users\Public\Desktop\desktop.ini.{[email protected]}.xtbl

Il s'agit de cette variante virus "encoder" - extensions .XTBL.
Le pirate a probablement piraté le serveur par un accès à distance RDP - il faut vérifier les comptes et changer les mots de passe.

~~

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.


1°)

Envoie C:\Windows\System32\Payload1.exe sur http://upload.malekal.com

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [System Service] => C:\Users\Administrateur\AppData\Local\Payload1.exe [155648 2016-04-12] ()
 C:\Windows\System32\Payload1.exe  
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Il faudra songer à installer un antivirus...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DjohnDoe73

Re: fichiers cryptés en .XTBL par un virus

par DjohnDoe73 »

J'ai exactement le même problème...
Fichu serveur 2008 R2 qui sert de RDS, sans connexion VPN, avec comme mot de passe du compte administrateur local: "P@ssw0rd"....
Pour bien faire pas de sauvegarde depuis cette été (bah oui sinon c'est pas drôle)...
En revanche j'ai réussi à remonté un fichier avant l'infection (j'ai donc les deux versions) si cela peut aider...
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: fichiers cryptés en .XTBL par un virus

par Malekal_morte »

il y a effectivement une nouvelle campagne.
RDP / TSE, ça reste critique comme service, faut filtrer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
PierrePETIT

Re: fichiers cryptés en .XTBL par un virus

par PierrePETIT »

Merci Malekal_morte pour votre aide aussi rapide ! Le trojan a été éliminé, mais mes fichiers sont irrécupérables. Je réinstalle tout.

Merci encore
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: fichiers cryptés en .XTBL par un virus

par Malekal_morte »

ok bon courage! PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DjohnDoe73

Re: fichiers cryptés en .XTBL par un virus

par DjohnDoe73 »

Bonjour quelqu’un aurait une solution pour décrypter ce genre de fichier?
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: fichiers cryptés en .XTBL par un virus

par Malekal_morte »

Probablement pas de solution pour décrypter ces fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Fichiers cryptés/renommés .xtbl sur Windows Server 2008

par Malekal_morte »

Ajout des fiches de suppression :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
plop

Re: Windows Server 2008 R2 infecté, fichiers cryptés en .XTB

par plop »

Si les fichiers sont toujours là, apparemment c'est possible de les déchiffrer.
Il y a un outil à la fin de l'article.

http://esec-lab.sogeti.com/posts/2016/0 ... lware.html
DMike92

Re: Windows Server 2008 R2 infecté, fichiers cryptés en .XTB

par DMike92 »

plop a écrit :Si les fichiers sont toujours là, apparemment c'est possible de les déchiffrer.
Il y a un outil à la fin de l'article.

http://esec-lab.sogeti.com/posts/2016/0 ... lware.html
Idem .xtbl !

Oui mais pas compilé apparemment. Et c'est du pascal Delphi ; j'ai pas !
Une bonne âme peut-être ?
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »