Добрый день, уважаемые специалисты. Столкнулся сегодня с проблемой на сервере, манипуляции с данными происходили сегодня в 1 ночи, как пришел на работу увидел что база данных и другие файлы базы данных корпоративной программы были зашифрованы злоумышленником, слезно прошу помощи как айтишник, так как бекап я сделать не успел, в хранилище с копией тоже все зашифровано, заранее благодарю за понимание! Прикрепляю один из зашифрованных файлов.

Крутяк. В два слоя файлы зашифрованы. Первый слой Cryakl, а второй Xorist.

Скорее наоборот

В логах сервера смотрите, какие файлы запускались

Час от часу не легче, даже не знаю как теперь отчитываться руководству :( Завтра будет секир башка, я так и понял что обречен как и многие другие.

Я бы не сказал, что все так безнадежно. Второй слой с Xorist снять можно, а вот с Cryakl сложней.

Несколько xls файлов пришлите.

Я бы не сказал, что все так безнадежно. Второй слой с Xorist снять можно, а вот с Cryakl сложней.

Несколько xls файлов пришлите.

Прикрепил 3.

Для снятия 2 слоя нужен сам шифровальщик. В карантине антивируса поищите что-то вроде Trojan.Ransom.Win32.Xorist

Для снятия 2 слоя нужен сам шифровальщик. В карантине антивируса поищите что-то вроде Trojan.Ransom.Win32.Xorist

Так в том то и дело что я винты сервера отформатировал сегодня, там появились проблемы с операционкой плюс обезопасить окружающих хотел, а необходимые зашифрованные файлы я скачал, забутившись с другого образа на флешке. А как вы смогли расшифровать?

Самый главный файл - jобраз базы данных sql зашифрован только с помощью cryacl. Написал Вам в личку.

- - - - -Добавлено - - - - -

Нашел в интернете, что лаборатория касперского выкладывала дешифратор хориста вот здесь http://support.kaspersky.ru/viruses/utility

Нашел в интернете, что лаборатория касперского выкладывала дешифратор хориста вот здесь
По сути она бесполезна, т.к. обновлялась она фиг знает когда.


Самый главный файл - jобраз базы данных sql зашифрован только с помощью cryacl.
Посмотрел базу через HEX редактор. Похоже база не успела зашифроваться. Во всяком случае я не увидел характерной метки Cryakl в зашифрованном файле. Попробуйте переименовать файл Media.mdf.id-{YGYWPBPZRCDZFBSOXTPGLCYPVMIZKBXOULCY-08.12.2015 0@13@56786064}[email protected] в media.mdf, а потом попробуйте открыть полученный файл в MS SQL.


Так в том то и дело что я винты сервера отформатировал сегодня, там появились проблемы с операционкой плюс обезопасить окружающих хотел, а необходимые зашифрованные файлы я скачал, забутившись с другого образа на флешке
В итоге еще больше дров наломали. Никогда не переустанавливайте систему после троянца-шифровальщика, потому что Вы полностью затираете вирусные следы, а иногда для создания расшифровки нужен сам шифровальщик.