Ransomware extension XTBL
Si les extensions de vos fichiers documents ont été modifiées en .XTBL, il y a de forte chance que Windows ait été touché par ransomware chiffreurs de fichiers ou crypto-ransomware.
Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va bloquer l’accès à vos documents en chiffrant ces derniers (ou cryptant ces derniers en langage commun) et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.
Tous les documents touchés par ce rançongiciel voit l’extension changée en .XTBL
Il s’agit ici de ransomware de la famille Ransom:Win32/Criakl ou « virus encoder ».
Vous trouverez la fiche de ces ransomwares sur la page suivante : Ransomware « virus-encoder » (Crypto-Ransomware)
Ces ransomwares virus-encoder possèdent plusieurs variantes et sont actifs depuis plusieurs, on retrouve notamment :
- virus-encoder – fud@india.com
- virus-encoder helpme@freespeechmail.org
- virus-encoder sos@decryptfiles.com
- Infection Trojan Cryptage fichier crypthelp12
Ces ransomwares se caractérisent pas l’utilisation d’adresse email de contact en @aol.com et @india.com
Les fichiers chiffrés (cryptés en langage commun) porte un id, l’adresse email et l’extension .XTBL
Exemple :
id-6A406277.Vegclass@aol.com.xtbl
On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.
Le fond d’écran peut être changé avec les instructions de paiement contenant les adresses emails @aol.com et @india.com
Ce type de malwares se propagent essentiellement de deux manières :
- par des emails malicieux – souvent avec des pièces jointes, vous exécutez le contenu de la pièce jointe, le ransomware se lance.
- par des exploits sur des sites WEB.
- Des attaques Bruteforce RDP visant les serveurs Windows.
Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup.
Certains de ces ransomwares embarquent des fonctionnalités de vol de mot de passe, il est impératif, une fois l’ordinateur désinfecté de changer tous vos mots de passe, ils ont été probablement récupéré par les cybercriminels.
Dans le cas d’un piratage RDP, vérifiez les comptes administrateurs et changer les mots de passe en conséquence.
Aussi, une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.
Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.
La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.