RP55,  до чистки еще дойдем, как только будут ответы на вопросы.
------------
0HTTP://34.80.59.191/WIN.PAC
C:\USERS\АДМИНИСТРАТОР.WIN-1O899I2GF2V\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

Прокси ваш?
хттп://34.80.59.191/WIN.PAC
в hosts сами блокировали адреса антивирусных ресурсов?
например:
0.0.0.0 malwarebytes.com
Антивирус 360 поставили уже после шифрования? (судя по файлам - дата шифрования 17.02.2023)

Судя по логу ESVC:

влом учетки Администратор? очистка журналов от 20.02.2023 или это уже постреакция после шифрования?

sep=,
Datetime,Source,Event description
20.02.2023 20:16:06.802,Windows Event Log,"Log ""Windows PowerShell"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/OperationalVerbose"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/Operational"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.645,Windows Event Log,"Log ""System"" was cleared by 1CSRV\Администратор."
17.02.2023 22:15:01.620,Non-MS Apps,"Application ""Adobe Acrobat Reader - Russian"" was installed."
17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Port Locker"" was installed."
17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Total Commander 64-bit (Remove or Repair)"" was installed."
------------------
Аутентификация на уровне сети отключена. Чтобы включить его, щелкните правой кнопкой мыши Этот компьютер (или компьютер) -> Свойства -> Настройки удаленного доступа и установите флажок «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети».

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Некоторые важные системные журналы были очищены.
Имя журнала Очищено
Система 20.02.2023 20:16:06
Windows PowerShell 20.02.2023 20:16:06

Продукт безопасности не найден на момент шифрования.

Журналы событий безопасности охватывают лишь небольшой период времени (менее суток). Журналы либо были очищены злоумышленником, либо размер журнала событий слишком мал.
Рассмотрите возможность увеличения размера журнала событий (eventvwr.msc -> Журналы Windows (левая панель) -> Безопасность -> Свойства (правая панель) -> Максимальный размер журнала (введите новое значение)). Мы рекомендуем как минимум утроить текущий Максимальный размер журнала.

Была проведена атака грубой силы с удаленной машины (машин):
- у administrator было 13 052 неудачных попытки входа в систему
- У ADMINISTRATOR была 7 991 неудачная попытка входа в систему.
- У ADMIN было 4 357 неудачных попыток входа в систему.
- У Administrator было 442 неудачных попытки входа в систему.

Могут отсутствовать следующие критические исправления:
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP

Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика)
образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/
логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
SysvulnCheck
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

ESET NOD32 Antivirus, ESET Internet Security and ESET Smart Security Premium version 16.1.14 have been released and are available for download.
Changelog:
Version 16.1.14

   NEW: Added Live Tiles on Overview page

   NEW: Added new Light / Dark mode switch to GUI

   IMPROVED: Additional network details displayed under Network adapters in GUI

   FIXED: various fixes and minor improvements
===========
Список изменений:
Версия 16.1.14

    НОВОЕ: добавлены живые плитки на странице обзора.

    НОВОЕ: добавлен новый переключатель режима Light / Dark в графический интерфейс.

    УЛУЧШЕНО: Дополнительные сведения о сети отображаются в разделе «Сетевые адаптеры» в графическом интерфейсе.

    ИСПРАВЛЕНО: различные исправления и мелкие улучшения


https://forum.eset.com/topic/35942-eset-windows-home-products-version-16114-have-been-released/

напишите в службу поддержки [email protected]

Могли проникнуть через RDP если есть возможность для подключения по RDP из внешней сети, сейчас это чаще всего и происходит при атаках шифровальщиков.
а далее, смогли уже из локальной сети атаковать другие устройства.
Сделайте лог SysVulnCheck на устройстве, где было шифрование, и к которому есть доступ из внешней сети.
(можно на нескольких пострадавших устройствах)

Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архив, загрузите архив в ваше новое сообщение для определения типа шифровальщика.
Если найден исполняемый файл шифратора, добавьте файл в архив с паролем infected, пришлите в почту [email protected]
---------
судя по файлам, полученным от коллег - это модифицированный Conti, к сожалению, без возможности расшифровки на текущий момент.
https://www.virustotal.com/gui/file/a071c02f6e398173476ad3394f84d02201f6d817ee2fb91­99f4e095ba0e2c7d5?nocache=1

Важные зашифрованные файлы+записку о выкупе сохраните на отдельный носитель, возможно в будущем расшифровка станет возможной.

Создайте образ автозапуска в uVS в пострадавшей системе для очистки от возможных тел шифровальщика
https://forum.esetnod32.ru/forum9/topic2687/
+
соберите лог ESETSysVulnCheck для анализа проникновения злоумышленников.
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

Avast выпустил дешифратор для модифицированного Conti.

(На текущий момент дешифруются файлы, зашифрованные с расширением *.PUTIN, *.KREMLIN, *.RUSSIA)
 ------------------

Февраль 2022: произошла утечка данных #Conti #ransomware, мы создали дешифратор в надежде, что некоторые ключи будут выпущены. Но безрезультатно.

Март 2023: Опубликованы ключи #MeowCorp (клон Conti 2.0), мы выпустили расшифровщик Conti и надеемся, что появятся новые ключи

Win лицензионный или активатор используете? Если используете активатор, в этом случае надо отключить потенциально опасное и потенциально нежелательное ПО при установке продукта, затем добавить файлы активаторов в исключение из всех проверок.

Файлы расшифрованы:

[2023.03.20 15:25:31.333] - --------------------------------------------------------------------------------
[2023.03.20 15:25:31.352] -
[2023.03.20 15:25:31.367] - INFO: Cleaning file [[email protected]\doc20211021215756.pdf[[email protected]].[3162D52F-1134390B]]
[2023.03.20 15:25:35.532] - INFO: Found key.
[2023.03.20 15:25:35.532] - INFO: Original filename: [doc20211021215756.pdf]
[2023.03.20 15:25:35.624] - INFO: Cleaned.
[2023.03.20 15:25:35.627] -
[2023.03.20 15:25:35.627] - INFO: Cleaning file [[email protected]\doc20211021220215.pdf[[email protected]].[3162D52F-1134390B]]
[2023.03.20 15:25:39.821] - INFO: Found key.
[2023.03.20 15:25:39.821] - INFO: Original filename: [doc20211021220215.pdf]
[2023.03.20 15:25:39.835] - INFO: Cleaned.
[2023.03.20 15:25:39.838] -
[2023.03.20 15:25:39.838] - INFO: Cleaning file [[email protected]\doc20211021221524.pdf[[email protected]].[3162D52F-1134390B]]
[2023.03.20 15:25:43.969] - INFO: Found key.
[2023.03.20 15:25:43.969] - INFO: Original filename: [doc20211021221524.pdf]
[2023.03.20 15:25:43.982] - INFO: Cleaned.
[2023.03.20 15:25:44.031] - --------------------------------------------------------------------------------
[2023.03.20 15:25:44.033] - INFO: 3 encrypted file(s) found.
[2023.03.20 15:25:44.034] - INFO: 3 file(s) decrypted.
[2023.03.20 15:25:44.035] - INFO: 0 file(s) NOT decrypted.
[2023.03.20 15:25:46.162] - End