Перейти к содержанию

Вирус поменял расширения файлов на .7D174


Рекомендуемые сообщения

 Сегодня обнаружилось, что все расширения всех файлов на Яндекс-диске были изменены на *.7D174.После попытки смены расширения файлов вручную их нельзя открыть и использовать, так как файл оказывается поврежден. Также в каждой папке появился файл при открытии которого выскакивает следующая информация на английском:

 сообщение вымогателя:

 

All your files are encrypted

Write down the information to notebook (exercise book !) and reboot the computer.
What happened to your files? All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here:https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen? Specially for your PC was generated personal RSA4096 key, both public and private.
ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server
What do I do? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN (NOW!), and restore your dataeasy way If You have really valuable data,you better not waste your time,because there is no other way to get your files,except make a payment.
YOUR PERSONAL ID
 
E836EAD0AC81
For more specific instructions,please visit your personal home page, there are a few different addresses pointing to your page below:
If for some reasons the addresses are not available, follow these steps:

 


 

файл протоколов

CollectionLog-2016.06.26-12.01.zip

Ссылка на комментарий
Поделиться на другие сайты

TaobaoProtect, Alipay сами устанавливали?

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.


Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 


После перезагрузки зашифровались новые файлы

 

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.


Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 

 

CollectionLog-2016.06.26-14.08.zip

Ссылка на комментарий
Поделиться на другие сайты

В принципе, зашифрованные файлы не несли никакой важной информации, но, в процессе моих действий их становилось все больше, поэтому я переустановил Windows. Но на съемном жестком диске осталось несколько зашифрованных фотографи, скажите могут ли они стать источником инфицирования новой системы и других файлов? Или просто удалить их и все?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...