Вирус поменял расширения файлов на .7D174

[Artem V******v]

 Сегодня обнаружилось, что все расширения всех файлов на Яндекс-диске были изменены на *.7D174.После попытки смены расширения файлов вручную их нельзя открыть и использовать, так как файл оказывается поврежден. Также в каждой папке появился файл при открытии которого выскакивает следующая информация на английском:

 сообщение вымогателя:

 

All your files are encrypted

Write down the information to notebook (exercise book !) and reboot the computer.

What happened to your files? All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here:https://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen? Specially for your PC was generated personal RSA4096 key, both public and private.
ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server

What do I do? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN (NOW!), and restore your dataeasy way If You have really valuable data,you better not waste your time,because there is no other way to get your files,except make a payment.

YOUR PERSONAL ID

 

E836EAD0AC81

For more specific instructions,please visit your personal home page, there are a few different addresses pointing to your page below:

• http://6egfo4p57eibfbkf.onion.to
• http://6egfo4p57eibfbkf.onion.cab
• http://6egfo4p57eibfbkf.onion.city

If for some reasons the addresses are not available, follow these steps:

• Download and install tor-browser: https://torproject.org/projects/torbrowser.html.en
• After a successful installation, run the browser
• Type in the address bar:http://6egfo4p57eibfbkf.onion
• Follow the instructions on th site.

 

 

файл протоколов

CollectionLog-2016.06.26-12.01.zip

[thyrex]

TaobaoProtect, Alipay сами устанавливали?

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Artem V******v]

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.


Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 

После перезагрузки зашифровались новые файлы

 

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.


Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 

 

CollectionLog-2016.06.26-14.08.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Artem V******v]

В принципе, зашифрованные файлы не несли никакой важной информации, но, в процессе моих действий их становилось все больше, поэтому я переустановил Windows. Но на съемном жестком диске осталось несколько зашифрованных фотографи, скажите могут ли они стать источником инфицирования новой системы и других файлов? Или просто удалить их и все?

[thyrex]

Зашифрованные фото не могут стать источником нового шифрования. Их можно просто удалить