Bonjour,
Les fichiers de mon Windows Server 2008 R2 ont été cryptés avec des extensions de fichiers en .XTBL
FRST.txt : http://pjjoint.malekal.com/files.php?id ... 12d7g8o8z5
ADDITION.txt : http://pjjoint.malekal.com/files.php?id ... 0s11w10o13
SHORTCUT.txt : http://pjjoint.malekal.com/files.php?id ... 3n8i11j7c7
Pouvez-vous m'aider ?
Merci en tous cas de votre solidarité.
Windows Server 2008 R2 infecté, fichiers cryptés en .XTBL
Modérateurs : Mods Windows, Helper
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: fichiers cryptés en .XTBL par un virus
Salut,
ouaip :
Il s'agit de cette variante virus "encoder" - extensions .XTBL.
Le pirate a probablement piraté le serveur par un accès à distance RDP - il faut vérifier les comptes et changer les mots de passe.
~~
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
1°)
Envoie C:\Windows\System32\Payload1.exe sur http://upload.malekal.com
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Il faudra songer à installer un antivirus...
ouaip :
2016-04-11 20:34 - 2016-04-11 20:34 - 00000631 ___SH C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000631 ___SH C:\Users\Aurore\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000567 ___SH C:\Users\Philippe\Documents\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000567 ___SH C:\Users\Aurore\Documents\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Public\Documents\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Philippe\Downloads\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Philippe\Desktop\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Aurore\Downloads\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000439 ___SH C:\Users\Aurore\Desktop\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000327 ___SH C:\Users\Public\Downloads\desktop.ini.{[email protected]}.xtbl
2016-04-11 20:34 - 2016-04-11 20:34 - 00000327 ___SH C:\Users\Public\Desktop\desktop.ini.{[email protected]}.xtbl
Il s'agit de cette variante virus "encoder" - extensions .XTBL.
Le pirate a probablement piraté le serveur par un accès à distance RDP - il faut vérifier les comptes et changer les mots de passe.
~~
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
1°)
Envoie C:\Windows\System32\Payload1.exe sur http://upload.malekal.com
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Code : Tout sélectionner
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [System Service] => C:\Users\Administrateur\AppData\Local\Payload1.exe [155648 2016-04-12] ()
C:\Windows\System32\Payload1.exe
Reboot:
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Il faudra songer à installer un antivirus...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: fichiers cryptés en .XTBL par un virus
J'ai exactement le même problème...
Fichu serveur 2008 R2 qui sert de RDS, sans connexion VPN, avec comme mot de passe du compte administrateur local: "P@ssw0rd"....
Pour bien faire pas de sauvegarde depuis cette été (bah oui sinon c'est pas drôle)...
En revanche j'ai réussi à remonté un fichier avant l'infection (j'ai donc les deux versions) si cela peut aider...
Fichu serveur 2008 R2 qui sert de RDS, sans connexion VPN, avec comme mot de passe du compte administrateur local: "P@ssw0rd"....
Pour bien faire pas de sauvegarde depuis cette été (bah oui sinon c'est pas drôle)...
En revanche j'ai réussi à remonté un fichier avant l'infection (j'ai donc les deux versions) si cela peut aider...
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: fichiers cryptés en .XTBL par un virus
il y a effectivement une nouvelle campagne.
RDP / TSE, ça reste critique comme service, faut filtrer.
RDP / TSE, ça reste critique comme service, faut filtrer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: fichiers cryptés en .XTBL par un virus
Merci Malekal_morte pour votre aide aussi rapide ! Le trojan a été éliminé, mais mes fichiers sont irrécupérables. Je réinstalle tout.
Merci encore
Merci encore
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: fichiers cryptés en .XTBL par un virus
ok bon courage!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: fichiers cryptés en .XTBL par un virus
Bonjour quelqu’un aurait une solution pour décrypter ce genre de fichier?
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: fichiers cryptés en .XTBL par un virus
Probablement pas de solution pour décrypter ces fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Fichiers cryptés/renommés .xtbl sur Windows Server 2008
Ajout des fiches de suppression :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Windows Server 2008 R2 infecté, fichiers cryptés en .XTB
Si les fichiers sont toujours là, apparemment c'est possible de les déchiffrer.
Il y a un outil à la fin de l'article.
http://esec-lab.sogeti.com/posts/2016/0 ... lware.html
Il y a un outil à la fin de l'article.
http://esec-lab.sogeti.com/posts/2016/0 ... lware.html
Re: Windows Server 2008 R2 infecté, fichiers cryptés en .XTB
Idem .xtbl !plop a écrit :Si les fichiers sont toujours là, apparemment c'est possible de les déchiffrer.
Il y a un outil à la fin de l'article.
http://esec-lab.sogeti.com/posts/2016/0 ... lware.html
Oui mais pas compilé apparemment. Et c'est du pascal Delphi ; j'ai pas !
Une bonne âme peut-être ?
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 5 Réponses
- 117 Vues
-
Dernier message par Malekal_morte
-
-
interface réseau bridée à 1gb/s sur 2019 server
par tianphp6tm » » dans Réseau, internet et navigateurs internet - 1 Réponses
- 151 Vues
-
Dernier message par Rhin0
-
-
- 3 Réponses
- 67 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 395 Vues
-
Dernier message par Parisien_entraide
-
- 1 Réponses
- 230 Vues
-
Dernier message par Malekal_morte