# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  [email protected] требуется дешифратор

## Exicator

Добрый день, уважаемые специалисты. Столкнулся сегодня с проблемой на сервере, манипуляции с данными происходили сегодня в 1 ночи, как пришел на работу увидел что база данных и другие файлы базы данных корпоративной программы были зашифрованы злоумышленником, слезно прошу помощи как айтишник, так как бекап я сделать не успел, в хранилище с копией тоже все зашифровано, заранее благодарю за понимание! Прикрепляю один из зашифрованных файлов.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mike 1

Крутяк. В два слоя файлы зашифрованы. Первый слой Cryakl, а второй Xorist.

----------


## thyrex

Скорее наоборот

В логах сервера смотрите, какие файлы запускались

----------


## Exicator

Час от часу не легче, даже не знаю как теперь отчитываться руководству  :Sad:  Завтра будет секир башка, я так и понял что обречен как и многие другие.

----------


## mike 1

Я бы не сказал, что все так безнадежно. Второй слой с Xorist снять можно, а вот с Cryakl сложней.   

Несколько xls файлов пришлите.

----------

Exicator

----------


## Exicator

> Я бы не сказал, что все так безнадежно. Второй слой с Xorist снять можно, а вот с Cryakl сложней.   
> 
> Несколько xls файлов пришлите.


Прикрепил 3.

----------


## mike 1

Для снятия 2 слоя нужен сам шифровальщик. В карантине антивируса поищите что-то вроде Trojan.Ransom.Win32.Xorist

----------

Exicator

----------


## Exicator

> Для снятия 2 слоя нужен сам шифровальщик. В карантине антивируса поищите что-то вроде Trojan.Ransom.Win32.Xorist


Так в том то и дело что я винты сервера отформатировал сегодня, там появились проблемы с операционкой плюс обезопасить окружающих хотел, а необходимые зашифрованные файлы я скачал, забутившись с другого образа на флешке. А как вы смогли расшифровать?

Самый главный файл - jобраз базы данных sql зашифрован только с помощью cryacl. Написал Вам в личку.

- - - - -Добавлено - - - - -

Нашел в интернете, что лаборатория касперского выкладывала дешифратор хориста вот здесь http://support.kaspersky.ru/viruses/utility

----------


## mike 1

> Нашел в интернете, что лаборатория касперского выкладывала дешифратор хориста вот здесь


По сути она бесполезна, т.к. обновлялась она фиг знает когда. 




> Самый главный файл - jобраз базы данных sql зашифрован только с помощью cryacl.


Посмотрел базу через HEX редактор. Похоже база не успела зашифроваться. Во всяком случае я не увидел характерной метки Cryakl в зашифрованном файле. Попробуйте переименовать файл *Media.mdf.id-{YGYWPBPZRCDZFBSOXTPGLCYPVMIZKBXOULCY-08.12.2015 [email protected][email protected]}[email protected]* в *media.mdf*, а потом попробуйте открыть полученный файл в MS SQL.




> Так в том то и дело что я винты сервера отформатировал сегодня, там появились проблемы с операционкой плюс обезопасить окружающих хотел, а необходимые зашифрованные файлы я скачал, забутившись с другого образа на флешке


В итоге еще больше дров наломали. Никогда не переустанавливайте систему после троянца-шифровальщика, потому что Вы полностью затираете вирусные следы, а иногда для создания расшифровки нужен сам шифровальщик.

----------

