Николай, здравствуйте, не смог восстановить старый аккаунт. Угроза действительно серьезная, у нас около 9 пострадавших сайтов, правда все почему-то на 2.5.х и 5.4-5.6. php. Обнаружили в пятницу, вирус спит, а потом заменяет содержимое всех .js файлов (сайт начинает на фишинговые и рекламные сайты редиректить) детектится просто, смотрим index.php на наличие подозрительных @include и других отличий от стандартного, а также наличия файлов index.php в папках где их не должно быть (assets, core/packages и т.д.).