проверьте настройки фаерволла и попробуйте изменить ее "разрешить доступ к файлам и к принтерам в доверенной зоне".

будьте готовы к тому, что ваши данные могут быть не только зашифрованы, но и перед шифрованием скопированы на ресурс злоумышленников,
с тем, чтобы оказать на вас дополнительное давление, шантажируя возможностью публикации ваших данных на сторонних ресурсах,
и продажей ваших данных конкурентам, и прочим третьим лицам.

[QUOTE]Операторы Sodinokibi Ransomware (REvil) начали призывать своих партнеров копировать данные своих жертв перед шифрованием компьютеров, чтобы их можно было использовать в качестве рычага на новом сайте по утечке данных, который скоро будет запущен.

Операторы Sodinokibi Ransomware - предоставляют услуги Ransomware-as-a-Service, где управляют платежным порталом и разрабатывают вымогателей, а сторонние «партнеры» распространяют вымогателей.

Затем операторы и партнеры делятся платой за вымогателей, сделанной жертвами.
[/QUOTE]
https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-may-tip-nasdaq-on-attacks-to-hurt-stock-prices/

[QUOTE]RP55 RP55 написал:
+В системе нет антивируса...[/QUOTE]
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз

+ обратите внимание, что поддержка сервера Windows 2008 R2 прекращена
uVS v4.0 [http://dsrt.dyndns.org]: [B]Windows Server 2008 R2[/B] Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
следует в дальнейшем планировать переход в работе на актуальные серверные решения.

[QUOTE]ООО Рембытстройсервис написал:
что можно предпринять? если полностью удалить шифратор возможна ли дешифровка если мы заплатим этим хакерам?[/QUOTE]
активного шифрования в настоящий момент нет, файлы шифратора удалены, но есть опасность повторного шифрования.

если взломали доступ к серверу, то атака может повториться через время, в том числе и другими шифраторами, например операторами Cryakl,

дешифровать документы в настоящее время невозможно, только за выкуп ключа у злоумышленников, но мы не можем дать вам никакой гарантии, что они помогут вам с расшифровкой, даже если вы заплатите  выкуп ключа, в том числе и по причине низкой квалификации операторов Crysis.

вот, пожалуйста, свежий пример:
[QUOTE][URL=https://forum.kasperskyclub.ru/index.php?showtopic=64665]Заплатили, перестал сразу отвечать[/URL] [/QUOTE]


обратите внимание на [B]рекомендации 1-8 выше, их нужно обязательно выполнить в кратчайшее врем[/B]я, чтобы избежать повторного шифрования, и защитить данные вашей компании от дальнейших атак.

------------
эти файлы так же можно удалить, это записка о выкупе.

2020-02-21 08:14 - 2020-02-21 11:02 - 000000236 _____ C:\Users\maks\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\FILES ENCRYPTED.txt

по логу FRST:
проверьте этот файл на virustotal.com
2020-02-20 21:12 - 2020-02-20 21:12 - 000094720 _____ C:\Users\Администратор\Downloads\FuckedUp.exe
(если он еще живой)
+
дайте ссылку нам на результат проверки
затем файл можно удалить.

по очистке системы выполните (без перезагрузки системы) :

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\USER18\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\USER9\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\USER26\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\FUCKEDUP.EXE
delall %Sys32%\FUCKEDUP.EXE
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
apply
REGT 35

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте еще логи в FRST

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

если проблема не решится, попробуйте отключать в Хроме различные расширения по порядку, или в порядке по расширениям, которым вы меньше всего доверяете,напишите результат

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]Task: {6C79F6AC-87AA-4262-B7CE-6CD8E344B7BC} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [414872 2017-04-12] (OOO Lightshot -> TODO: <Company name>)
Task: {E8B74BC3-B539-4617-840D-3AF1CCE694F7} - System32\Tasks\update-S-1-5-21-65126448-3849248484-2705416503-1003 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [414872 2017-04-12] (OOO Lightshot -> TODO: <Company name>)
Task: C:\Windows\Tasks\update-S-1-5-21-65126448-3849248484-2705416503-1003.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
Task: C:\Windows\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
CHR DefaultSearchURL: Default -> hxxps://ybhsearch.com/web/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> hxxps://ybhsearch.com/
CHR DefaultSuggestURL: Default -> hxxps://ybhsearch.com/web/search?q={searchTerms}
EmptyTemp:
Reboot:[/CODE]

если проблема не решится,
попробуйте отключать в Хроме различные расширения по порядку, или в порядке по расширениям, которым вы меньше всего доверяете,
напишите результат,

это понятно,
возможно какое то из расширения хрома левое, у вас их много установлено.
если в мбам все проверили и почиститили,
далее,

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/