Версию продукта ESET какую используете? сделайте, пожалуйста лог ELC

скачать программу отсюда:
текущая версия - v4.3.0.0 (14.07.2021)
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­­lector.exe

Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

Номер обращения, напишите, пожалуйста.

[QUOTE]Max V написал:
есть ли смысл её выкладывать здесь с целью попытки реализации дешифратора, или она ничего не даст?[/QUOTE]
Пришлите, пожалуйста, файл шифровальщика в почту [email protected], в архиве, с паролем infected, с шифрованием имен файлов.

Если необходим анализ ПК, который предположительно был атакован из внешней сети, сделайте пожалуйста на этом устройстве лог  ESETSysVulnCheck:

[QUOTE]Для дополнительного анализа, сделайте пожалуйста лог ESETSysVulnCheck

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  
[/QUOTE]

Если Вы являетесь пользователем ESET, Вы можете создать обращение в техническую подддержку [email protected] и предоставить следующие файлы для анализа:
https://forum.esetnod32.ru/forum35/topic16689/

по проблеме активации продукта пишем в Техническую поддержку.
https://www.esetnod32.ru/support/

из подозрительного:
sep=,
Datetime,Service name,Type,File name,Start type,Account
13.07.2022 00:29:22,KProcessHacker3,драйвер режима ядра,C:\Program Files\Process Hacker\kprocesshacker.sys,Вручную,
sep=,
Datetime,Source,Event description
13.07.2022 00:26:10.147,TS - Rmt Conn. Man,"""администратор"" is connecting from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:26:51.609,TS - Lcl Session Man,"""Администратор"" logged in from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:28:39.705,Non-MS Apps,"Application ""WinRAR 5.71 (64-bit)"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:21.091,Non-MS Apps,"Application ""Process Hacker"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:22.410,Created Services,"Service ""KProcessHacker3"" (драйвер режима ядра) was installed. File Name: ""C:\Program Files\Process Hacker\kprocesshacker.sys"". Start Type: Вручную. Account: n/a"
------------------------
Пользователь должен включить контроль учетных записей (UAC).

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Продукт безопасности ESET не найден.

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Обнаружен инструмент, который мог быть использован хакерами для удаления или отключения ESET:
- Process Hacker (установлен 13.07.2022 00:29:21)

Отсутствуют следующие критические исправления:
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)

Спасибо за обращение.
Судя по формату зашифрованного файла "monteryn.ttf.[3eec70e412].[Dungeon Masters].FISTING" - это [B]Sojusz[/B]
https://id-ransomware.blogspot.com/2022/02/sojusz-ransomware.html

В последнее время активен, и известны несколько вариантов:
af.zip.[89f625ffde].[BillyHerrington].[B]Gachimuchi[/B]
HardwareEvents.evtx.[724e4bcb11].[spanielearslook].[B]likeoldboobs[/B]
есть и другие.

Для дополнительного анализа, сделайте пожалуйста лог ESETSysVulnCheck

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  

Так же при наличие лицензии на продукт ESET Вы можете обратиться в техническую поддержку [email protected]
Файлы и логи, которые необходимы для обращения в ТП
https://forum.esetnod32.ru/forum35/topic16689/

[QUOTE]Алексей С написал:
Нормальной реакции ноль. Обещать, обещанное, я и сам могу.      [/QUOTE]

При обновлении модулей программы или активации лицензии может возникнуть ошибка «Проверьте действительность вашей лицензии». Если у вас возникла подобная ошибка, просьба направить к нам запрос с указанием лицензионного ключа и описанием ошибки через [URL=https://www.esetnod32.ru/support/#support-section-form]форму[/URL].

Странного здесь ничего нет. Блокируются сайты, которые добавлены в blacklist. Вы можете установить в браузере блокировщик рекламы, например uBlock Origin, количество таких детектов должно уменьшится.

[QUOTE]Алексей Самусь написал:
Ежемесячная подписка приобретаемая у Ростелекома перестала работать. Действие лицензии приостановлено. Ну чтож, наверное перейдем на Каспера.    [/QUOTE]
Напишите в [email protected]

Скриншот не поможет решить проблему, необходим анализ системы по логам.