Salve, sono stato vittima dello stesso attacco, file criptati con estensione ultracode e un file di testo con su scritto
HOW DECRYPT YOUR FILE.
Leggendo il file ho capito che in pratica è stato un attacco mirato a dati con un cypher militare che utilizza l'argoritmo RSA.
Nel file in coda c'era un c'è la chiave pubblica.
Nello stesso file c'è l'indicazione di mandare un un file criptato per "dimostrarmi" e il file di testo con la chiave pubblica, cosi da dimostrarmi che aveva lui la chiave privata.
L'email è "ultracode@tormail.com"
Mando il file e il bastardo me lo decritta e mi chiede 200 € in uKESH,una sorta di moneta/coupon elettronico che è molto usato negli UK che non sono stato capace di reperire.
La conversazione è durata a lungo con suoi consigli su dove e come reperirli.
Ma stranamente ogni pagamento mi falliva.
Cmq parlando con l'azienda che mi cura il gestionale, sono riuscito a risalire ad una piccola casistica poichè sono stati attaccati anche altri 3 server.

-Server attaccati 2003/2008
-Porta aperta 3389/tcp che consente accesso tramite desktop remoto.
-Combinazione nome utente /password veramente debole.
Se avete avuto problemi simili fatemi sapere.