Вопроса что делать нет, восстанавливаем из вчерашних бекапов, базы такие, что не страшно.... Собственно пока не находится исходный файл, который все это сделал. По времени создания запароленных файлов похоже, что сработал он ночью, начиная с 4-х часов. Имена файлов примерно такие [email protected] 1.3.1.0.id-@@@@@A826-1B3F.randomname-OQQSBDDEHIIJLMNOPQRSUVVWYZZACD.EFG.hi
Сейчас смотрим, что могло сработать и запустить эти процессы - если кто-нибудь подскажет, будем очень благодарны!

(0) Кто-то почтовое вложение открыл?!
https://habrahabr.ru/post/206830/

Блин, я подумал вы хакера поймали, который файлы вам зашифровал и хотите спросить че с ним делать...

Или тут
http://www.spyware-ru.com/virus-shifrovalshhik-kak-udalit-virus-i-vosstanovit-zashifrovannye-fajly/

(0) У вас доступ из-вне открыт по RDP?

(2) "На кол его! Первое средство!!!" )))
(4) Я одинэсник, даже не понимаю про что ты спросил, сисадмин уехал разбираться.
(1) Скорее всего, там базы файловые, но пока по открытиям все чисто. Вопрос в том, почему файлы начали шифроваться ночью и не произойдет ли повторное шифрование?

(4) Скорее всего открыт, если я к нему подключаюсь по RDP?

(6) Ну тогда к вам зашли по RDP скорее всего.

(5) >>Вопрос в том, почему файлы начали шифроваться ночью и не произойдет ли повторное шифрование?
Ну это как раз логично - ночью меньше вероятность, что кто-то заметит его деструктивную деятельность То есть процесс мог быть запущен и днем, но до ночи ничего не делал - выжидал благоприятный момент. А вот откуда взялся этот процесс это уже нужно разбираться...

(7) (8) Спасибо, начнем противодействие )

(9) Никого не увольняли последнее время, а то может как в той байке? http://fly.jambox.ru/tales/he-budite-v-admine-zverya.html

Любой сотрудник за 50% стоимости расшифровки может запустить шифровальщик.

(10) Не, контора приличная, все нормально.... на всякий случай спрошу админов, спасибо!
(11) да не... не может быть - там на "точке" сидят люди, которые совершенно безобидны в этом плане. 146%

(12) ну это я так. чисто теоретически

(13) принимаются любые версии - идет процесс разделения ... на овцев и агнцев )

(14) Любые говоришь....
http://4.bp.blogspot.com/_dAK34vcK8Qc/TPqoY77MqSI/AAAAAAAAD1I/V563mD_zczw/s1600/thermorectal.jpg

(15) Не, ну до такого не дойдет конечно, там тихая пасторальная (теплая ламповая) обстановка, просто обидно. Ну и хочется избежать повтора. Последнюю базу осталось восстановить - 3 часа работы уже прошло....

(15) не ректотермальный надежней. и не воняет и следов почти не оставляет

(0) как было у меня дома несколько лет назад:
ребенок поймал шифровальщика(((((((( На компе было много фото которые ОЧЕНЬ жалко потерять. Вначале удалил щифровальщика антивирусом и само письмо тоже. Запустил восстановку удаленных файлов по клатерам и о чудо - большую часть он нашел и восстановил. Я так понимаю он вначале шифровал в новые файлы, а потом удалял. С базами данных 1с скорее всего будет сложнее из за размеров базы ИМХО, но я бы поробовал.

сохранил фоты на внешний диск, где до сих пор их и храню))

(18) Спасибо за инфу, но восстанавливать смысла нет, базы не особенно интенсивные, загрузка из вчерашнего бекапа решила проблему. Да и система хранения там не оптимальна, места на диске мало, скорее всего полностью восстановить не получится. Но так или иначе все озвучу, пусть админы думают. Их хлеб.