Полагаю, дело было так:
На Али "висит" активное содержимое в виде рекламных баннеров. Уязвимостями плагинов, воспроизводящих это содержимое, и воспользовался даунлоадер. Как именно он это сделал, этого я не знаю. Наверняка есть "дыра", запускающая ссылку на закачку и запуск.
К завтрему антивирь обновят и проблема исчезнет.

иногда достаточно открыть сайт или кликнуть по баннеру и зараза подхвачена.

А иногда и кликать не нужно, как в моём случае.
Сегодня утром DrWeb уже начал детектировать зловреда.

Ну как успехи, я тоже такого поймал, отпишитесь пожалуйста

svls, поймали,
1. поделитесь с товарищами :),
историей.
откуда могли предположительно получить шифратор: с сайта, из почты, с флэшки.
2. сделайте образ автозапуска системы для проверки, возможно шифратор еще активен, или в автозапуске.
http://www.tehnari.ru/f150/t81269/

Вирусом заразились через интернет, перешли по ссылке, утилита CureIt от drweb его сразу нашла и удалила. За пол часа заразил всю сеть из 10 компов. На машине которая заразилась первой зашифровались все файлы известного формата. В сети заразились только файлы находящиеся в общем доступе. Антивирус касперского никак не отреагировал на данный вирус. Вот имя одного из файлов: XXX.doc.id-6545477759_maxcryptAfoxmail2.

Вот что ответили мне на dr web:
К сожалению, все методы подбора ключа, которыми мы располагаем, оказались неприменимы.

Не видим способа подобрать ключ расшифровки в данном случае.

Возможно со временем (несколько месяцев или лет) такой способ удастся придумать.
Исследования будут продолжаться.
Если мы когда-нибудь получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.

кстати,

https://club.esetnod32.ru/news/novos...kikh-geymerov/

Вот лаборатория касперского предложила прогнать утилитой: rakhnidecryptor, а так же сказали что в конце недели будут обновления. Ну расшифровка может занять до 120 дней на процессоре i-5)