[QUOTE]santy написал:
на других компах шифровались только расшаренные ресурсы?
если да, значит запуск шифратора был скорее всего с одной машины.

проверьте в свойствах зашифрованных файлов кто является владельцем зашифрованного файла.
возможно, там будет имя (логин) пользователя той системы, с которой был запуск шифратора.

проверьте его почту (в том числе и корзину) , возможно осталось письмо с вредоносным вложением,

пишут собратья по несчастию
[QUOTE]Случилось это 16.12.2014, у всех файлов одна дата изменения и время в периоде с 13:00 до 15:00. Причем шифровал в хаотичном порядке, в
некоторых шарах зашифровал все, а в некоторых только часть. В этот день только один ПК повел себя странно, завис напрочь, ни на что не
реагировал только ребут помог, как раз где то после трех, видимо это вирус и остановило и именно на этом ПК нашелся файл, загруженный из
почты с именем  akt_priema_vipolnenih_rabot.exe,
[/QUOTE]
[/QUOTE]

к сожалению, информацию о владельце шифратор никак не изменял.

еще интересно - среди пострадавших систем Windows XP x32 и Windows Server 2003 R2 x64
в сети еще были Windows XP x64, Windows 7 x64 - они не пострадали
может совпадение, а может и нет

есть уже тут темы с таким шифровальщиком. я так понял, модификация совсем новая. то ли сложно детектируется, а может и совсем не детектируется пока. полезно же будет поделиться опытом

моя история печальная в крайней степени
один из пользователей сети предприятия обратился с проблемой - перестали открываться рабочие файлы в папке на сервере
стал смотреть - расширения файлов сменились на ненавистные теперь id-**********_foxmail@inbox. com
шифровальщик детектед. запустили поиск по этому расширению по сети - стал обнаруживаться на всех подряд компьютерах.
единственное решение, которое пришло в голову - среди рабочего дня отключить питание у всех сетевых устройств предприятия. как показало время - верное решение.

в итоге имею зашифрованные файлы на сетевых ресурсах около 20 (из 100) компьютеров и пары серверов. компьютеры шифровались в алфавитном порядке.
действие шифратора прекратилось с отключением питания сети (видно по времени изменения файлов). шифровались doc, xls, jpg, rar, pdf, dbf.
за 2 часа работы сотни тысяч файлов!! потрясная производительность. браво. о том, что много было крайне критично, даже не говорю.

за выходные протестил все компьютеры. везде последняя корпоративная версия nod с обновленными базами. в логах на эту дату чисто. в карантине ничего настолько опасного.
нигде никаких следов тела вируса.
конечно, вопросы к есэту возникают, но, судя по сообщениям, эту дрянь не остановил ни каспер, ни доктор вэб.

судя по всему, кто-то из пользователей получил письмо с предложением пройти по ссылке, получил страшное сообщение о заражении, испугался, все закрыл и подчистил следы.
шифратор втихую работал, пока другой пользователь не забил тревогу. вот такая грустная история.
ни на одном компе нет зашифрованных файлов, кроме как в расшаренных ресурсах. найти компьютер-источник и нерадивого пользователя я так и не смог.

техподдержка  запросила примеры зашифрованных файлов и тело вируса. тела я так и не нашел, отправил только шифрованные. присвоили номер обращению и на том спасибо.
для прикола отправил на адрес foxmail@inbox. com письмо с текстом "проверка связи". в ответ получил :
Стоимость дешифратора
0.5 биткоин
курс и купить  здесь...
Пополнить кошелёк биткоин   ***************************************

в связи с чем хотелось бы пообщаться:
- как найти источник проникновения в сеть?
- можно ли было его предотвратить?
- как не допустить повторения истории?
- есть ли шанс на расшифровку?
- кто-нибудь платил за расшифровщик?

учитывая, что распространение началось совсем не давно, думаю в этой теме будут еще неравнодушные. хотя такой дряни не пожелаю никому.
помогайте, кто чем может. финансовая отчетность предприятия и мое дальнейшее пребывание админом в нем на волоске =))

ps только про резервное копирование не нужно писать))