Olá amigo,
Procure se informar um pouco mais, não é lenda urbana não. Peguei 4 casos semelhantes no começo do ano.
A invasão se dá pela porta do TS (terminal service) 3389, onde após conseguir o acesso é colocado um script que vasculha os HDs e compacta .DOC, .XLS, .MDB, .PST, .JPEG etc... como vc falou, "nome do arquivo + instrução com email + ID .RAR"
Até onde sei, existem 2 versões. A primeira ele (?) cometeu um equivoco e colocou a chave junto no "pacote" que era dropado no server. Dava pra reverter o processo. Na segunda versão ele corrigiu isso.
Exigia no começo US$ 5mil para fornecer a chave, e ouvi gente dizendo que pagaram e receberam a chave correta (imaginem o desespero de uma empresa com o banco de dados bloqueado...)
Se houvesse backup plugado na máquina, ele arjeava tudo apagando os arquivos e impossibilitando de recuperá-los.