Volevano evitare di ripristinare il tutto, perchè ci vogliono almeno 3 giorni , ma purtroppo è la strada che stiamo seguendo, il Ransomware si chiama Medusa comunque ed è uno degli ultimi usciti, state attenti ai server windows 2012 r2, il nostro server nello specifico e anche il suo gemello che usiamo come server ombra, stanno nello stesso datacenter dello stesso provider, sono dietro firewall software , quello di windows , con esposte solo le porte 80 e 443, prime indicazioni dicono che sia stato un 0day di IIS, e la cosa sarebbe molto grave.. anche perchè ci hanno colpito i due server principali che non avevano manco un numero dell'ip in comune..Se è un server utilizzato per il lavoro dovresti essere in regola con il GDPR e avere un piano di Disaster & Recovery (Articolo 32 Pt. C).
Fai prima a ripristinare i dati dal backup....
Se invece sei fortunato ed è stato utilizzato un RansonWare già conosciuto puoi tentare di decriptare i file, come suggerito da @ElectricDreamer