[Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Throlan

[Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

par Throlan »

Bonjour,

Comme beaucoup de serveurs Windows, le miens s'est retrouvé infecté par un violent ransomware .xtbl qui a encrypté tous les fichiers auxquels il avait accès, ils ont tous une extension .{[email protected]}.xtbl

En fouillant un peu sur le forum j'ai trouvé la procédure FRST.

FRST : http://pjjoint.malekal.com/files.php?id ... 10j9s10g13
Addition : http://pjjoint.malekal.com/files.php?id ... c6o13s15z7
Shortcut : http://pjjoint.malekal.com/files.php?id ... 11p14g7s14

Merci par avance pour toute l'aide que vous pourrez m'apporter.

Les points de restauration ont tous été supprimés !
Est ce qu'il y a un moyen de récupérer les fichiers ?
Malekal_morte
Messages : 116519
Inscription : 10 sept. 2005 13:57

Re: Infection par un ransomware xtbl

par Malekal_morte »

Bonjour,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Possible intrusion par bruteforce RDP à cause de d'identifiants trop faibles. TeamViewer a aussi connu quelques déboires. Il faut mieux s'informer et vraiment songer à sécuriser tout ça.

Avec tous les programmes de désinfection passés, il semble avoir été supprimé ou il n'était pas résident.

Il reste ceci :
Startup: C:\Users\standard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ_DECRYPT DATA INSTRUCTIONS.jpg [2016-08-15] ()
Startup: C:\Users\standard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ_DECRYPT DATA INSTRUCTIONS.txt [2016-08-15] ()
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur READ_DECRYPT DATA INSTRUCTIONS.txt et supprime les fichiers trouvés.

Pour déchiffrer les fichiers, comme il n'y a pas de sauvegardes, croise les doigts.
Lire http://esec-pentest.sogeti.com/posts/20 ... lware.html
et regarde ici https://noransom.kaspersky.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Throlan

Re: Windows Server 2008 R2 infecté, ransomware .XTBL

par Throlan »

Merci beaucoup pour cette réponse rapide. Malheureusement, aucun utilitaire n'a fonctionné, c'est dommage.
Malekal_morte
Messages : 116519
Inscription : 10 sept. 2005 13:57

Re: Windows Server 2008 R2 infecté, ransomware .XTBL

par Malekal_morte »

Comme c'est souvent le cas... il faut veiller au bon fonctionnement des sauvegardes PDT_033
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116519
Inscription : 10 sept. 2005 13:57

Re: [Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

par Malekal_morte »

Suivre cette page : DecryptTool : déchiffrer les ransomwares qui énumère tous les outils des éditeurs de sécurité qui permet de récupérer ses fichiers.
Certains visent .XTBL
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116519
Inscription : 10 sept. 2005 13:57

Re: [Clôt] Windows Server 2008 R2 infecté, ransomware .XTBL

par Malekal_morte »

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »