Могли проникнуть через RDP если есть возможность для подключения по RDP из внешней сети, сейчас это чаще всего и происходит при атаках шифровальщиков.
а далее, смогли уже из локальной сети атаковать другие устройства.
Сделайте лог SysVulnCheck на устройстве, где было шифрование, и к которому есть доступ из внешней сети.
(можно на нескольких пострадавших устройствах)

Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архив, загрузите архив в ваше новое сообщение для определения типа шифровальщика.
Если найден исполняемый файл шифратора, добавьте файл в архив с паролем infected, пришлите в почту [email protected]
---------
судя по файлам, полученным от коллег - это модифицированный Conti, к сожалению, без возможности расшифровки на текущий момент.
https://www.virustotal.com/gui/file/a071c02f6e398173476ad3394f84d02201f6d817ee2fb91­99f4e095ba0e2c7d5?nocache=1

Важные зашифрованные файлы+записку о выкупе сохраните на отдельный носитель, возможно в будущем расшифровка станет возможной.

Создайте образ автозапуска в uVS в пострадавшей системе для очистки от возможных тел шифровальщика
https://forum.esetnod32.ru/forum9/topic2687/
+
соберите лог ESETSysVulnCheck для анализа проникновения злоумышленников.
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

[B]Avast выпустил [URL=https://files.avast.com/files/decryptor/avast_decryptor_conti.exe][B]дешифратор[/B][/URL] для модифицированного Conti.
[/B]
(На текущий момент дешифруются файлы, зашифрованные с расширением *.PUTIN, *.KREMLIN, *.RUSSIA)
 [QUOTE] Feb 2022: #Conti #ransomware data was leaked, we created a decryptor in hope for some keys to be released. To no avail.

   Mar 2023: #MeowCorp (a Conti 2.0 clone) keys were published, we released a Conti decryptor, and hope for more keys to come. #DontPayUp[/QUOTE]
------------------

Февраль 2022: произошла утечка данных #Conti #ransomware, мы создали дешифратор в надежде, что некоторые ключи будут выпущены. Но безрезультатно.

Март 2023: Опубликованы ключи #MeowCorp (клон Conti 2.0), мы выпустили расшифровщик Conti и надеемся, что появятся новые ключи

[QUOTE]Дмитрий Канунников написал:
И что вы думаете опять всё слетело и при загрузке винды синий экран смерти, как его назывпют. [/QUOTE]
Win лицензионный или активатор используете? Если используете активатор, в этом случае надо отключить потенциально опасное и потенциально нежелательное ПО при установке продукта, затем добавить файлы активаторов в исключение из всех проверок.

[QUOTE]Илья Пегов написал:
Добрый день! Помогите с расшифровкой.
Злоумышленник зашел по RDP подобрав пароль.
Машина была выключена, зашифровано не до конца.
snowdenV.7z - предположительно исполняемый файл шифровальщика.
послание.7z - оставлено злоумышленником
файлы.7z - зашифрованные файлы для примера
Лицензия NOD32 имеется[/QUOTE]

Файлы расшифрованы:

[2023.03.20 15:25:31.333] - --------------------------------------------------------------------------------
[2023.03.20 15:25:31.352] -
[2023.03.20 15:25:31.367] - INFO: Cleaning file [[email protected]\doc20211021215756.pdf[[email protected]].[3162D52F-1134390B]]
[2023.03.20 15:25:35.532] - INFO: Found key.
[2023.03.20 15:25:35.532] - INFO: Original filename: [doc20211021215756.pdf]
[2023.03.20 15:25:35.624] - INFO: Cleaned.
[2023.03.20 15:25:35.627] -
[2023.03.20 15:25:35.627] - INFO: Cleaning file [[email protected]\doc20211021220215.pdf[[email protected]].[3162D52F-1134390B]]
[2023.03.20 15:25:39.821] - INFO: Found key.
[2023.03.20 15:25:39.821] - INFO: Original filename: [doc20211021220215.pdf]
[2023.03.20 15:25:39.835] - INFO: Cleaned.
[2023.03.20 15:25:39.838] -
[2023.03.20 15:25:39.838] - INFO: Cleaning file [[email protected]\doc20211021221524.pdf[[email protected]].[3162D52F-1134390B]]
[2023.03.20 15:25:43.969] - INFO: Found key.
[2023.03.20 15:25:43.969] - INFO: Original filename: [doc20211021221524.pdf]
[2023.03.20 15:25:43.982] - INFO: Cleaned.
[2023.03.20 15:25:44.031] - --------------------------------------------------------------------------------
[2023.03.20 15:25:44.033] - INFO: 3 encrypted file(s) found.
[2023.03.20 15:25:44.034] - INFO: 3 file(s) decrypted.
[2023.03.20 15:25:44.035] - INFO: 0 file(s) NOT decrypted.
[2023.03.20 15:25:46.162] - End

Сделайте обращение в [email protected]
Можно написать через форуму на сайте:
https://www.esetnod32.ru/support/

[QUOTE]Алексей Пичугин написал:
[QUOTE] santy написал:
[QUOTE] akok akok написал:
Появились ключи для некоторых версий CryLock (2.0.0.0, 1.9.2.1 и 1.8.0.0).[/QUOTE]ESET выпустил универсальный дешифратор по данным ключам по всем версиям 2.0.0.0, 1.9.2.1 и 1.8.0.0

  [/QUOTE]а где его можно взять? [/QUOTE]
[SIZE=14pt]дешифратор рассылается для обратившихся в техническую поддержку за помощью в расшифровке после атаки шифровальщика Crylock в течение 2021-2023 года.[/SIZE]

Правой кнопкой мыши по ярлыку на панели задач - выбираем действие "изъять программу с панели задач"

[QUOTE]max_sk написал:
Я тут опять потхватил тот же порно-баннер[/QUOTE]
Как он себя проявляет:
запускается при старте системы,
всплывает при открытии браузера (в любом или только в одном, в каком)
запускается периодически, висит постоянно

[QUOTE]akok akok написал:
Появились ключи для некоторых версий CryLock (2.0.0.0, 1.9.2.1 и 1.8.0.0).[/QUOTE]

ESET выпустил универсальный дешифратор по данным ключам по всем версиям 2.0.0.0, 1.9.2.1 и 1.8.0.0