> Анализируя логи, IP адрес откуда было это сделано, доступ был только через
> samba.

1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!!
2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила.

3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти.

4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё.

Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.