WSTOP勒索病毒入侵群晖NAS过程。

根据以往印象，勒索病毒针对WIN系统更常见。3月22日凌晨家用群晖920+被感染WSTOP病毒。

而且经日志查询，并无非正常登录。
经一上午排查。。。终于找到了可能得入侵途径。
在群晖DSM中，我用VM工具做了一个WIN10的虚拟机，仅用于远程开启网盘下载功能和进入局域网访问家庭中的数据。
此WIN10为了省事使用了自动登录和弱密码。路由器为此虚拟机开启了3389到33890的映射。
现在发现，登录此虚拟机密码被更改。使用PE更改密码后，进入虚拟机。桌面被篡改。
发现这个WIN添加了NAS多个目录为网络盘符。（WIN凭据管理器存储了NAS的管理员账号密码）

[[oGWXxmoW]].[[BaseData@airmail.cc]l.wstop最近好像很多。
NAS数据的本机备份已被篡改破坏，有异机冷备份目前关机未开机。
请问此种情况，WIN虚拟机是否还有保留的价值，毕竟是从这里进来的。
群晖DSM内的文件只有部分有异机冷备份，未被备份的数据有部分比较重要，还有没有破解的希望。

我可以提供一些文件的未被篡改的源文件和被篡改后的文件。对破解此勒索病毒是否有用？

nas勒索一直是非常常见的，主要渠道1.smb共享加密 2.nas漏洞 3. ssh暴破登录