Neuer Cryptotrojaner "fileiscryptedhard" nur auf Netzlaufwerken

crwhv

Moin,
ich bin selbst ITler und normalerweise darf ich mich freuen, wenn unsere Kunden einen der bekannten Cryptotrojaner eingefangen haben und teilweise das Thema Datensicherung vernachlässigt haben. Nun bin ich jedoch selbst zum Opfer geworden, jedoch ist es bei uns etwas seltsam!

Durch Zufall habe ich heute Abend bemerkt, dass ein Bild (jpg) von einem Netzlaufwerk nicht korrekt in unsere Rechnungsmaske geladen wurde. Als ich nachschaute, bekam ich einen große Schrecken und dachte nur "SCHEI*****!!!!!" Cryptowall oder Locky eingefangen.

Alle bekannten Dateien (doc, pdf, exe, jpg,...) wurden als URSTPRUNGSDATEI.ENDING.fileiscryptedhard verschlüsselt.
Und in jedem Verzeichnis befindet sich eine Textdatei (READ TO DECRYPTIONS_.txt) mit folgenden Inhalt:
Wenn ich hiernach Google, finde ich nichts.
Das seltsame ist: Es sind nur die Netzlaufwerke auf einem Win2k8R2 (Domaincoltroller) und von einem Synology NAS verschlüsselt.
Da die Shares nur von Domänenbenutzer Berechtigungen haben, muss also die Schadsoftware auf einem Domänencomputer kommen. Seltsamerweise ist kein PC in der Domäne lokal betroffen.

Die Tools von Kaspersky und ESET helfen leider nicht.

Von den Dateien auf dem Server habe ich Backups und auch bereits wiederhergestellt. Vom NAS, wo u.a. viele gesammelte Images liegen, war die ordentliche Datensicherung noch nicht fertig im Einsatz :/

Jemand eine Schlaue Idee oder kennt jemanden diesen netten, scheinbar neuen Verschlüssler?

Ich wüsste nämlich gerne von wo er verschlüsselt und ob ich die verschlüsselten Dateien evtl. entschlüsseln kann...


1.000 Dank im Voraus!