Вирус поменял расширения файлов на .7D174

26 июня, 2016

Сегодня обнаружилось, что все расширения всех файлов на Яндекс-диске были изменены на *.7D174.После попытки смены расширения файлов вручную их нельзя открыть и использовать, так как файл оказывается поврежден. Также в каждой папке появился файл при открытии которого выскакивает следующая информация на английском:

сообщение вымогателя:

All your files are encrypted

Write down the information to notebook (exercise book !) and reboot the computer.

What happened to your files? All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here:https://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen? Specially for your PC was generated personal RSA4096 key, both public and private.
ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server

What do I do? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN (NOW!), and restore your dataeasy way If You have really valuable data,you better not waste your time,because there is no other way to get your files,except make a payment.

YOUR PERSONAL ID

E836EAD0AC81

For more specific instructions,please visit your personal home page, there are a few different addresses pointing to your page below:

If for some reasons the addresses are not available, follow these steps:

Download and install tor-browser: https://torproject.org/projects/torbrowser.html.en
After a successful installation, run the browser
Type in the address bar:http://6egfo4p57eibfbkf.onion
Follow the instructions on th site.

файл протоколов

CollectionLog-2016.06.26-12.01.zip

26 июня, 2016

TaobaoProtect, Alipay сами устанавливали?

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

26 июня, 2016

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

После перезагрузки зашифровались новые файлы

Да, сам устанавливал. Давно еще

TaobaoProtect, Alipay сами устанавливали?

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@E836EAD0AC81.lnk','');
 SetServiceStart('bddlsvc', 4);
 DeleteService('bddlsvc');
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench_x64');
 DeleteService('bd0002');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Users\win7\AppData\Roaming\baidu\BaiduRJDownloader\1.6.0.67\bddlsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

CollectionLog-2016.06.26-14.08.zip

26 июня, 2016

Сделайте лог полного сканирования МВАМ

26 июня, 2016

В принципе, зашифрованные файлы не несли никакой важной информации, но, в процессе моих действий их становилось все больше, поэтому я переустановил Windows. Но на съемном жестком диске осталось несколько зашифрованных фотографи, скажите могут ли они стать источником инфицирования новой системы и других файлов? Или просто удалить их и все?

26 июня, 2016

Зашифрованные фото не могут стать источником нового шифрования. Их можно просто удалить

Вирус поменял расширения файлов на .7D174

Рекомендуемые сообщения

Artem V******v

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Artem V******v

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Artem V******v

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum