Перейти к содержанию

Вирус поменял расширения файлов на .7D174


Рекомендуемые сообщения

 Сегодня обнаружилось, что все расширения всех файлов на Яндекс-диске были изменены на *.7D174.После попытки смены расширения файлов вручную их нельзя открыть и использовать, так как файл оказывается поврежден. Также в каждой папке появился файл при открытии которого выскакивает следующая информация на английском:

 сообщение вымогателя:

 

All your files are encrypted

Write down the information to notebook (exercise book !) and reboot the computer.
What happened to your files? All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here:https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen? Specially for your PC was generated personal RSA4096 key, both public and private.
ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server
What do I do? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN (NOW!), and restore your dataeasy way If You have really valuable data,you better not waste your time,because there is no other way to get your files,except make a payment.
YOUR PERSONAL ID
 
E836EAD0AC81
For more specific instructions,please visit your personal home page, there are a few different addresses pointing to your page below:
If for some reasons the addresses are not available, follow these steps:

 


 

файл протоколов

CollectionLog-2016.06.26-12.01.zip

Ссылка на комментарий
Поделиться на другие сайты

TaobaoProtect, Alipay сами устанавливали?

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.


Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 


После перезагрузки зашифровались новые файлы

 

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.


Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 

 

CollectionLog-2016.06.26-14.08.zip

Ссылка на комментарий
Поделиться на другие сайты

В принципе, зашифрованные файлы не несли никакой важной информации, но, в процессе моих действий их становилось все больше, поэтому я переустановил Windows. Но на съемном жестком диске осталось несколько зашифрованных фотографи, скажите могут ли они стать источником инфицирования новой системы и других файлов? Или просто удалить их и все?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ovfilinov
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Freeman80S
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • Garand
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • tom1
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
×
×
  • Создать...