Virus .XTBL

Depuis quelques jours, une nouvelle campagne d’un ransomware ancien reprend.
Cette campagne vise plus particulièrement les serveurs Windows, à travers des attaques bruteforce RDP.
Il s’agit ici de tenter de prendre la main sur un serveur Windows avec les droits administrateurs, pour désactiver les éventuelles antivirus et charger un ransomware qui va chiffrer (crypter en langage commun) les documents du serveur, voire du réseau entier.
Le but recherché et donc de prendre en otage l’accès aux documents et demander de payer une somme en bitcoin afin de rendre ces derniers à nouveau accessible.

Ce ransomware n’est pas vraiment nouveau, vous trouverez des informations sur la fiche suivante : Ransomware « virus-encoder » (Crypto-Ransomware)
Ce dernier se caractérise par l’utilisation d’extension .XTBL et l’utilisation d’adresse email de contact en @aol.com et @india.com

Les documents, en plus d’avoir leur extension modifiée en XTBL, comporte aussi un ID et une adresse email avec la syntaxe suivante :

id-6A406277.Vegclass@aol.com.xtbl

ransomware_redshitline_extension_xtbl_2 ransomware_extension_XTBL_2

Le ransomware XTBL peut ensuite modifier le fond d’écran pour afficher une image et les adresses de contacts pour le paiement.

ransomware_extension_XTBL ransomware_redshitline_extension_xtbl

Nos analyses montrent aussi que ces ransomwares ont aussi des fonctionnalités de stealer et vont chercher à voler tous les mots de passe de l’ordinateur (Windows et navigateurs WEB).
Il est fortement recommandé après l’attaque du ransomware XTBL de changer tous vots de passe.
Dans le cas d’un serveur, interdisez les mots de passe faibles.

La procédure suivante vous guide dans la désinfection de l’ordinateur et vous donne quelques conseils suite à l’attaque du virus XTBL.
Cette procédure est entièrement gratuite et sans arnaque.

Supprimer le virus XTBL



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus XTBL avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus XTBL avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.