Printable View
Добрый день, уважаемые специалисты. Столкнулся сегодня с проблемой на сервере, манипуляции с данными происходили сегодня в 1 ночи, как пришел на работу увидел что база данных и другие файлы базы данных корпоративной программы были зашифрованы злоумышленником, слезно прошу помощи как айтишник, так как бекап я сделать не успел, в хранилище с копией тоже все зашифровано, заранее благодарю за понимание! Прикрепляю один из зашифрованных файлов.
Крутяк. В два слоя файлы зашифрованы. Первый слой Cryakl, а второй Xorist.
Скорее наоборот
В логах сервера смотрите, какие файлы запускались
Час от часу не легче, даже не знаю как теперь отчитываться руководству :( Завтра будет секир башка, я так и понял что обречен как и многие другие.
Я бы не сказал, что все так безнадежно. Второй слой с Xorist снять можно, а вот с Cryakl сложней.
Несколько xls файлов пришлите.
[QUOTE=mike 1;1339987]Я бы не сказал, что все так безнадежно. Второй слой с Xorist снять можно, а вот с Cryakl сложней.
Несколько xls файлов пришлите.[/QUOTE]
Прикрепил 3.
Для снятия 2 слоя нужен сам шифровальщик. В карантине антивируса поищите что-то вроде Trojan.Ransom.Win32.Xorist
[QUOTE=mike 1;1340220]Для снятия 2 слоя нужен сам шифровальщик. В карантине антивируса поищите что-то вроде Trojan.Ransom.Win32.Xorist[/QUOTE]
Так в том то и дело что я винты сервера отформатировал сегодня, там появились проблемы с операционкой плюс обезопасить окружающих хотел, а необходимые зашифрованные файлы я скачал, забутившись с другого образа на флешке. А как вы смогли расшифровать?
Самый главный файл - jобраз базы данных sql зашифрован только с помощью cryacl. Написал Вам в личку.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Нашел в интернете, что лаборатория касперского выкладывала дешифратор хориста вот здесь [URL="http://support.kaspersky.ru/viruses/utility"]http://support.kaspersky.ru/viruses/utility[/URL]
[QUOTE]Нашел в интернете, что лаборатория касперского выкладывала дешифратор хориста вот здесь[/QUOTE]
По сути она бесполезна, т.к. обновлялась она фиг знает когда.
[QUOTE]Самый главный файл - jобраз базы данных sql зашифрован только с помощью cryacl.[/QUOTE]
Посмотрел базу через HEX редактор. Похоже база не успела зашифроваться. Во всяком случае я не увидел характерной метки Cryakl в зашифрованном файле. Попробуйте переименовать файл [B]Media.mdf.id-{YGYWPBPZRCDZFBSOXTPGLCYPVMIZKBXOULCY-08.12.2015 [email]0@13@56786064}[email protected][/email][/B] в [B]media.mdf[/B], а потом попробуйте открыть полученный файл в MS SQL.
[QUOTE]Так в том то и дело что я винты сервера отформатировал сегодня, там появились проблемы с операционкой плюс обезопасить окружающих хотел, а необходимые зашифрованные файлы я скачал, забутившись с другого образа на флешке[/QUOTE]
В итоге еще больше дров наломали. Никогда не переустанавливайте систему после троянца-шифровальщика, потому что Вы полностью затираете вирусные следы, а иногда для создания расшифровки нужен сам шифровальщик.