Ransomware extension XTBL

Ransomware extension XTBL
5 (100%) 5 votes

Si les extensions de vos fichiers documents ont été modifiées en .XTBL, il y a de forte chance que Windows ait été touché par ransomware chiffreurs de fichiers ou crypto-ransomware.
Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va bloquer l’accès à vos documents en chiffrant ces derniers (ou cryptant ces derniers en langage commun) et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.
Tous les documents touchés par ce rançongiciel voit l’extension changée en .XTBL

Il s’agit ici de ransomware de la famille Ransom:Win32/Criakl ou « virus encoder ».
Vous trouverez la fiche de ces ransomwares sur la page suivante : Ransomware « virus-encoder » (Crypto-Ransomware)

Ces ransomwares virus-encoder possèdent plusieurs variantes et sont actifs depuis plusieurs, on retrouve notamment :

Ces ransomwares se caractérisent pas l’utilisation d’adresse email de contact en @aol.com et @india.com

Les fichiers chiffrés (cryptés en langage commun) porte un id, l’adresse email et l’extension .XTBL

Exemple :

id-6A406277.Vegclass@aol.com.xtbl

On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.

ransomware_redshitline_extension_xtbl_2 ransomware_extension_XTBL_2

Le fond d’écran peut être changé avec les instructions de paiement contenant les adresses emails @aol.com et @india.com

ransomware_extension_XTBL ransomware_redshitline_extension_xtbl

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup.

Certains de ces ransomwares embarquent des fonctionnalités de vol de mot de passe, il est impératif, une fois l’ordinateur désinfecté de changer tous vos mots de passe, ils ont été probablement récupéré par les cybercriminels.
Dans le cas d’un piratage RDP, vérifiez les comptes administrateurs et changer les mots de passe en conséquence.

Aussi, une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.




Supprimer ransomware .XTBL avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutoriel Malwarebytes Anti-Malware
  • Mettre Malwarebyte’s anti-Malware à jour
  • Lancer un scan rapide, supprime tout

Malwarebyte Anti-Malware en vidéo :

Supprimer ransomware .XTBL avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : scan en ligne NOD32

NOD32_ScanEnLigne0

Scan NOD32 en vidéo :

Récupération de fichiers effacés

Vous pouvez tenter des logiciels de récupérations de fichiers effacés tels que PhotoRec ou R-Studio
Se reporter au : Tutoriel PhotoRec

Tutoriel_Photorec_8

Après la désinfection

Pensez à changer tous vos mots de passe WEB qui peuvent avoir été récupérés.
Pour sécuriser votre ordinateur, suivez le guide suivante : Sécuriser son ordinateur.

Besoin d’aide ?

Si besoin, Vous trouverez une procédure plus complète sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites.

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/