Преамбула.
У одних моих знакомых (небольшое ООО) был взломан ящик на Яндексе. После чего началась массовая рассылка сей заразы (пять типов писем, содержащих архив со скриптом) по всему списку контактов. Список, как выяснилось, достаточно внушительный... 3506 контактов получили "письмо счастья"...
По их словам, рассылка началась в ночь с 20 на 21. В 3 часа ночи яндекс уведомил "держателя" почты о попытке смены пароля. Часам к трем дня (я там уже присутствовал) частота звонков по всем имеющимся телефонам снизилась до одного в 2-3 минуты. Количество ответных сообщений на почте исчислялось тысячами...

За те три часа, что я провел в этой компании, набралась интересная статистика. Но сейчас не об этом...

На сегодняшний день восстановлены документы на четырех компьютерах. Теперь будем распространять инфу среди пострадавших, как этого добились, может кому поможет. Во всяком случае, очень хочется в это верить :)

Восстановили документы, используя диалог "предыдущие версии".
Нюанс: искать предыдущие версии на каждом конкретном файле не имеет смысла, их попросту нет. А вот если открыть этот диалог через свойства папки, содержащей зашифрованные файлы, всё быстро и прекрасно восстанавливается. По окончании работы в каталоге присутствуют зашифрованные файлы с расширением vault и восстановленные незашифрованные версии этих же файлов.

Если это кому-нибудь поможет, буду только рад...

Это вам повезло, вообще он пытается удалить теневые копии Windows, но видимо прав на удаление этих копий у него не хватило.

Это вам повезло, вообще он пытается удалить теневые копии Windows, но видимо прав на удаление этих копий у него не хватило.
Да, с долей везения нам повезло, извиняюсь за каламбур...
А про права... Я, если честно, плохо понимаю, что такое права в виндовс. Например, что такое беспарольный администратор?.. Не-не, теорию я знаю... просто не понимаю :)

Вообще, писал пост только с точки зрения, а вдруг кому ещё поможет, вдруг кто ещё не знает...

А про права... Я, если честно, плохо понимаю, что такое права в виндовс.
Для удаления теневых копий Windows требуются права Администратора.

В общем, результаты...

На самом деле, надо согласится с тем, что виря была не "особо злобная", если можно так сказать.
Видимо, разрабы понадеялись на массовость в получении дохода. Поэтому, не встроили в него ничего лишнего, кроме шифрования, добавления hta'шки в автозапуск и удаления секьюрного ключа по окончании работы посредством sdelete... По окончании её работы - никаких лишних процессов, цмд-шек, батников и т.п. Антивирусы - все, как один - пропустили и дали отработать. На тех компах, с которыми "разбирался" я, был лицензионный КИС, по-моему, 14-ый... На одном компе, по логам, он матерился на то, что ccleaner пытается вычитать данные из реестра, пытается просмотреть автозапуск... но вот заразу даже не заметил :(
Что странно, ибо, опять же по логам, шифрование производил некий "svchost" с диким ключом... (вот вам и эвристика, обзови файл свхостом и запускай откуда хошь...)

За расшифровку требовали 200 долларов, можно было сторговаться до 180... Есть примеры. Самый первый ценник был 16 т.р. (в первые же часы один чел "обратился" за ключиком).

Нами была устроена рассылка по пострадавшим с рекомендациями, что делать, и без 100%-ой гарантии расшифровки.
Блин, Яндекс приколол... "мы разрешаем вам отправлять не более 500 писем в день"... Такого количества не отправили ни разу (3500 пострадавших), они блокируют отправку после 400 с небольшим отправлений. Риторический вопрос - "а как хакеры отправили всем и за раз без блокировок и санкций со стороны Яндекса?"..

Отзвонилось порядка 2-х сотен пострадавших. Вернуть свои данные получилось у примерно половины. У остальных - либо вообще отсутствует закладка "предыдущие версии" (методом тыка мы добились такого же результата на Винде 8.1 Про, вернуть не смогли... к слову - "тыки" были вполне легитимными, никаких твиков, ковыряний в реестре и пр. Только то, что встроено в виндовый проводник), либо - предыдущих версий не найдено.
Большая часть этих лузеров (в плане, их постигла неудача с восстановлением данных) работала из-под учетки Администратор...

В общем, статистика такая: из желающих вернуть свои документы сделать это получилось примерно у 50%.