по файлу rules - это правила откуда? с маршрутизатора или с фаервола ESET FILE SECURITY?
по rdp - судя по файлу rules, здесь нет явного запрета на подключение по RDP (если порт 3389)
по расшифровке:
необходимо сохранить копии зашифрованных важных файлов и документов+Cpriv.Loki+Restore-My-Files.txt
по восстановлению системы: сервер 2003 - это ваш контролер домена? с доступом из внешней сети интернет?
файлы winlogon.exe которые добавлены в карантин не являются системными файлами, это файл шифровальщика.

по детекту шифровальщика:
https://www.virustotal.com/gui/file/b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763­fdb7dfd070c1049ba/detection

К сожалению, по LokiLocker на текущий момент нет расшифровки. Сохраните важные зашифрованные документы на отдельный носитель,
возможно в будущем расшифровка станет возможной.

судя по логу ESVC возможно проникновение было на другой сервер, а шифрование на PKY было только по расшаренным каталогам, т.е. с другого устройства.

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Пользователь должен выполнить обновление до ESET Server Security для Microsoft Windows Server версии 8.0 (https://www.eset.com/int/business/download/file-security-windows/).

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)

[QUOTE]Владимир Горячев написал:
Выслал filecoder  на  [URL=mailto:[email protected]][email protected][/URL] ,

+ логи здесь[/QUOTE]
по детекту- это все таки FileCoder.LokiLocker (не Phobos, конечно, как детектируется записка о выкупе):
E7A44AD48CBE884AFC4DAFB917F5445C9994F29C.NDF "C:\svchost.exe";"C:\Documents and Settings\All Users\Application Data\winlogon.exe";"C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\winlogon.exe";"C:\Documents and Settings\Администратор\Application Data\winlogon.exe";"C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\winlogon.exe" "@NAME=[B]MSIL/Filecoder.LokiLocker.D[/B]@TYPE=Trojan@SUSP=mod" 06.04.2023 532480 bytes

Пришлите, пожалуйста, один из файлов (который winlogon.exe) из карантина, в архиве, с паролем infected в почту [email protected]
(этот файл не попал в архив filecoder, там только записка о выкупе)
+
нужен лог ESETSysVilnCheck для анализа проникновения на ваше устройство.

Добавьте, пожалуйста, несколько зашифрованных файлов в архиве+записку о выкупе.
Если найдено тело шифровальщика добавьте в архив Filecoder с паролем infected, пришлите архив в почту [email protected]

Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика)
1. образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/
2. логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
3. Соберите лог ESETLogCollector
скачать программу отсюда:
текущая версия - v4.3.0.0 (14.07.2021)
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­­lector.exe

Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

4.SysvulnCheck
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

[QUOTE]Георгий Терентьев написал:
В дальнейшем будет достаточно скопированных данных?[/QUOTE]
желательно, чтобы к зашифрованным файлам были чистые пары (несколько пар, лучше если это офисные документы или рисунки)
+
эти файлы так же сохраните:
#BlackHunt_ReadMe.hta
#BlackHunt_Private.key
#BlackHunt_Public.key
#BlackHunt_ID.txt
---------
по расшифровке данного типа шифровальщика пока нет информации
почта злоумышленников была засвечена в шифровальщике FONIX/RYUK
Primary email :[email protected]
но здесь другой тип, не похоже на FONIX

Информация о Blackhunt в энциклопедии шифровальщиков от Амиго-А
https://id-ransomware.blogspot.com/2022/11/blackhunt-ransomware.html

Опознан как

   ransomnote_filename: #BlackHunt_ReadMe.txt
   sample_extension: .[<id>].[<email>].Black
   sample_bytes: [0x1BC97 - 0x1BCA3] 0x23424C41434B5F48554E5423

https://id-ransomware.malwarehunterteam.com/identify.php?case=caec0d168739930a28ad7772c436c5cb06ddfdba

Тема по данному шифровальщику на Bleepingcomputer.com
https://www.bleepingcomputer.com/forums/t/782666/blackhunt-ransomware-black;-blackhunt-readmetxt-support-topic/

RP55,  до чистки еще дойдем, как только будут ответы на вопросы.
------------
0HTTP://34.80.59.191/WIN.PAC
C:\USERS\АДМИНИСТРАТОР.WIN-1O899I2GF2V\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

[B]Прокси ваш[/B]?
хттп://34.80.59.191/WIN.PAC
[B]в hosts сами блокировали адреса антивирусных ресурсов?[/B]
например:
0.0.0.0 malwarebytes.com
[B]Антивирус 360 поставили уже после шифрования? (судя по файлам - дата шифрования 17.02.2023)[/B]

Судя по логу ESVC:

влом учетки Администратор? очистка журналов от 20.02.2023 или это уже постреакция после шифрования?

sep=,
Datetime,Source,Event description
20.02.2023 20:16:06.802,Windows Event Log,"Log ""Windows PowerShell"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/OperationalVerbose"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/Operational"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.645,Windows Event Log,"Log ""System"" was cleared by 1CSRV\Администратор."
17.02.2023 22:15:01.620,Non-MS Apps,"Application ""Adobe Acrobat Reader - Russian"" was installed."
17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Port Locker"" was installed."
17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Total Commander 64-bit (Remove or Repair)"" was installed."
------------------
Аутентификация на уровне сети отключена. Чтобы включить его, щелкните правой кнопкой мыши Этот компьютер (или компьютер) -> Свойства -> Настройки удаленного доступа и установите флажок «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети».

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Некоторые важные системные журналы были очищены.
Имя журнала Очищено
Система 20.02.2023 20:16:06
Windows PowerShell 20.02.2023 20:16:06

Продукт безопасности не найден на момент шифрования.

Журналы событий безопасности охватывают лишь небольшой период времени (менее суток). Журналы либо были очищены злоумышленником, либо размер журнала событий слишком мал.
Рассмотрите возможность увеличения размера журнала событий (eventvwr.msc -> Журналы Windows (левая панель) -> Безопасность -> Свойства (правая панель) -> Максимальный размер журнала (введите новое значение)). Мы рекомендуем как минимум утроить текущий Максимальный размер журнала.

Была проведена атака грубой силы с удаленной машины (машин):
- у administrator было 13 052 неудачных попытки входа в систему
- У ADMINISTRATOR была 7 991 неудачная попытка входа в систему.
- У ADMIN было 4 357 неудачных попыток входа в систему.
- У Administrator было 442 неудачных попытки входа в систему.

Могут отсутствовать следующие критические исправления:
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP

Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика)
образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/
логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
SysvulnCheck
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

ESET NOD32 Antivirus, ESET Internet Security and ESET Smart Security Premium version 16.1.14 have been released and are available for download.
Changelog:
Version 16.1.14

   NEW: Added Live Tiles on Overview page

   NEW: Added new Light / Dark mode switch to GUI

   IMPROVED: Additional network details displayed under Network adapters in GUI

   FIXED: various fixes and minor improvements
===========
Список изменений:
Версия 16.1.14

    НОВОЕ: добавлены живые плитки на странице обзора.

    НОВОЕ: добавлен новый переключатель режима Light / Dark в графический интерфейс.

    УЛУЧШЕНО: Дополнительные сведения о сети отображаются в разделе «Сетевые адаптеры» в графическом интерфейсе.

    ИСПРАВЛЕНО: различные исправления и мелкие улучшения


https://forum.eset.com/topic/35942-eset-windows-home-products-version-16114-have-been-released/

напишите в службу поддержки [email protected]