Какая-то хрень зашифровала файл, что делать?

Добрый день.
Сегодня пользователи обнаружили, что часть файлов не открываются и имеют странное расширение *.just, т.е. был файл document.doc, а стал document.doc.just и рядом с этими файлами лежит message.txt:[INDENT]Покупка декриптора:[email protected]
При обращении укажите в теме письма ваш ID:1117114721
Ключ хранится до 22.09.2014
Обращения после 22.09.2014 будут игнорироваться.

Письма обрабатываются автоматической системой.
Возможны задержки ответов[/INDENT]

Просканировал CureIt на одной машине нашел несколько [URL="https://docs.google.com/file/d/0B-MOrRtqX0wucjBzR0dTLUZ0bW8/"]файлов[/URL]
. Не знаю относятся ли эти зловреды к шифровальщикам или нет.
В свойствах файла поставлены инициалы сотрудника, при сканировании его машины - ничего не обнаружено. Если нужно, в [URL="https://drive.google.com/file/d/0B-MOrRtqX0wucnQ4Y0t6b2NvSmM"]архиве[/URL] примеры зашифрованных файлов. Пароль virus.
Блин, что делать, ума не приложу, только на выходных хотели внедрить TrendMicro.
Позвонили еще в несколько компаний, где у нас есть действующие ключи:
Саппорт Касперского говорит, что попробуйте расшифровать файлы нашими декрипторами, а если не поможет, то пишите заявление в органы (естественно не помогло). Есет сказал пришлите файлы - сроки от двух недель, до двух месяцев - отправил.
Причем, что самое интересное шифровка началась только на сервере, где были рабочие документы, на остальных машинах ни одного файла с расширением *.just не найдено. И что самое паршивое - не можем определить удалился ли этот зловред или нет.

Уважаемый(ая) [B]Yuriy Syakov[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

[QUOTE=thyrex;1161203][url]http://virusinfo.info/pravila.html[/url][/QUOTE]
Блин, это понятно. У меня около 30 машин. Сюда около 90 логов (AVZ, HijackThis и архив) прикрепить? Проблема в том, что я не могу найти комп с которого все началось.
Да, в свойствах есть сотрудник с которого пошли изменения, но почему файлы начались меняться сразу на сервере, причем с буквы диска, которая была подключена - X, а есть еще до и после этой буквы диски (C, D, E, S, K, X, Y и Z). Файлы эта херь стала шифровать именно на X, а на других - ничего. Почему, например не с диска C или не с папки Документы или вообще не с рабочего стола? Ведь именно там в 90% находятся большинство файлов.
Проверили всеми антивирусами (TrendMicro, EsetNod, drWeb, Symantec, Касперский), на которые у нас были лицензионные ключи, машину с которой была в свойствах - пусто. Вообще ничего.

Шифратор удаляется по окончанию шифрования. Сам шифратор поймали через электронную почту так что ищите сотрудника, который открыл вложение из письма. Также сразу скажу с дешифровкой не поможем.

[QUOTE=mike 1;1162138]Шифратор удаляется по окончанию шифрования.[/QUOTE]
ммм... аха..Спасибо.