Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] запуск майнера на сервере с MS Exchange 2016
Сергей, спасибо,
файлы получил, некоторое время необходимо для анализа. в этот раз все получилось. отслеживание включено,
странно, что образ выполнен не последней версией. (4.11.11), проверю. --- обновил до 4.11.12
Удаление, Проблемы с приложением и его удалением
продукт ESET удаляем из безопасного режима системы с помощью ESETUninstaller (предварительно скачать)
https://download.eset.com/com/eset/tools/installers/eset_apps_remover/latest/esetu­ninstaller.exe
тема для ознакомления
https://support.eset.com/ru/kb2289-eset-eset-uninstaller
[ Закрыто] запуск майнера на сервере с MS Exchange 2016
[QUOTE]Сергей Шустов написал:
добрый день.
1. поднял версию до предпоследнего (июньского) кумулятива.
2.  [URL=https://disk.yandex.ru/d/aj_C_SnLXUCvDQ]образ UVS[/URL]
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло[/QUOTE]

судя по образу версия обновилась.
[B]Exchange Server 2016 CU21 29 июня 2021 г. 15.1.2308.8 15.01.2308.008[/B]



рекомендуется так же установить все критические обновления для системы.

да, здесь есть запуск майнера
[QUOTE]C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

192.168.90.52:46366 <-> 95.216.46.125:443

[/QUOTE]
но жаль,  что вы не обратили внимание на просьбу
а), [B]сделать образ актуальной версией uVS 4.11.12[/B]
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
перед созданием образа необходимо чтобы были выполнены твики 39 и  41, которые включают отслеживание создаваемых процессов и задач, с момента загрузки системы+ отслеживание логов DNS с целью определить (процесс или задачу) источник запуска майнера.

[QUOTE]3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло[/QUOTE]
файл лога был создан в данной папке? вот он и нужен для анализа.
проверить локальный сервер и скопировать идентифицированные журналы и файлы в OutPath:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs -CollectFiles
-------------------------

>>>антивируса пока нет там
проверьте систему сканерами:
1. Microsoft Safety Scanner
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
2. Malwarebytes
https://forum.esetnod32.ru/forum9/topic10688/
3. добавьте лог ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/


>>>майнер запускается в выходные раз в две недели....
майнер запустился уже после установки куммулятивного обновления?


что нужно сделать:
1. скачаь актуальную версию uVS 4.11.12[URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0][B] отсюда[/B][/URL]

2. выполнить скрипт в uVS с перезагрузкой системы, в удобное для вас время, накануне предполагаемого запуска майнера.

[code];uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
regt 41
restart
[/code]
3. как только майнер запустится, создать образ автозапуска в uVS.
(uVS можно предварительно запустить, но образ создавать только после запуска процесса с майнером)

4. после создания образа автозапуска - процесс с майнером можно закрыть.

5. далее, уже анализируем (здесь) по образу, какая доп. информация попадет (по процессам, задачам, логам DNS)
[ Закрыто] запуск майнера на сервере с MS Exchange 2016
1. по обновлениям Exchange проверили -установлены актуальные патчи?

2. выполните скрипт проверки на уязвимость Test-ProxyLogon.ps1 на наличие новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1

файл, который формирует скрипт в формате csv пришлите пожалуйста в почту [email protected]

3. 4. так же можно проверить наличие уязвимости из локальной сети используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse

[QUOTE]
-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".[/QUOTE]

4. есть ли антивирусная защита на данном сервере (судя по образу - не обнаружена), есть ли какие то логи или журналы, которые фиксируют запуск майнера?

5. ждем в гости майнер - если есть четкое расписание его запуска, и фиксируем его запуск с помощью uVS. скрипт, в таком случае, добавленный выше с обнаружением процессов и задач и логов DNS можно выполнить накануне "визита".
[ Закрыто] запуск майнера на сервере с MS Exchange 2016
uVS v4.11.10 [http://dsrt.dyndns.org:8888]: Windows Server 2012 R2 Standard x64 (NT v6.3 SP0) build 9600 [C:\WINDOWS]
Microsoft Exchange Server 2016

проверьте, установлен ли у вас актуальный патч
[QUOTE]Exchange Server 2016
В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2016.
Exchange Server 2016
Название продукта Дата выпуска Номер сборки
(краткий формат) Номер сборки
(длинный формат)
[B] Exchange Server 2016 CU22 Oct21SU 12 октября 2021 г. 15.1.2375.12 15.01.2375.012[/B]
[/QUOTE]
https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
судя по образу uVS у вас может быть быть очень древний дистрибутив установлен.
Exchange Server 2016 RTM 1 октября 2015 г. 15.1.225.42 15.01.0225.042

1. пробуйте сделать образ автозапуска актуальной версией 4.11.12
скачать по ссылке:
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
regt 41
restart
[/code]
перезагрузка,
------------
далее, надо дождаться запуска майнера, если появляется после загрузки системы, и сделать образ автозапуска не закрывая процесс с майнером
как только образ будет создан, процесс майнера можно закрыть
Cryakl/CryLock - этапы "большого пути"
CryLock в основном так и работает. (Есть образцы, которые грузятся в автозапуск). В вашем случае здесь - интерактивный инструмент. Взлом системы, отключение защиты, поиск в сети возможных целей для шифрования, затем само шифрование. В вирлабе есть подобные инструменты. на текущий момент расшифровка невозможна. Последняя возможная была 1.9.0.0

в сети уже встречаются версии Crylock 2.3.0.0

Если на текущий момент система очищена, добавьте образ автозапуска+ логи ESETlogCollector, +можно добавить логи FRST
больше будет инфо для анализа.

На системе необх выполнить аудит, чтобы были установлены все важные обновления+ если есть доступ по RDP из внешней сети, разрешить доступ только с белых адресов.
Cryakl/CryLock - этапы "большого пути"
да, это Cryakl/CryLock v {2.0.0.0} на текущий момент без расшифровки

https://www.virustotal.com/gui/file/b2db63e4ec291efa8d721bbd0155043667bc9c8b005e0ce­a1c5307cfc5a76e64

https://id-ransomware.malwarehunterteam.com/identify.php?case=924f0e44f9e820ddcba0d46341029e9ea0bea277

если необходима помощь в очистке системы, то нужен образ автозапуска системы



зашифрованные файлы (после очистки системы) сохраните на отдельном носителе, возможно в будущем будет возможность расшифровки.
Cryakl/CryLock - этапы "большого пути"
[QUOTE]Ярослав Глушко написал:
Прощу прощения, загрузил сам файл, проверьте пожалуйста  [/QUOTE]
версия {2.0.0.0} без расшифровки на текущий момент,
если есть важные зашифрованные файлы, сохраните их на будущее,
возможно в будущем расшифровка по данной версии станет доступной.

если необх помощь в очистке системы, добавьте образ автозапуска системы
+
добавьте логи EsetlogCollector для анализа путей возможного проникновения на ваш сервер или рабочую станцию
https://forum.esetnod32.ru/forum9/topic10671/
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
Релиз ESET NOD32 версии 15
Эх...
Раньше на форме бы написали... дали обзор... народ бы обсуждал...[/QUOTE]
что мешает самому опубликовать новость по версии 15
Cryakl/CryLock - этапы "большого пути"
[QUOTE]Ярослав Глушко написал:
[URL=https://cloud.mail.ru/public/1QHL/3xDkyHNFg]https://cloud.mail.ru/public/1QHL/3xDkyHNFg[/URL]
Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.[/QUOTE]

проверьте архив с файлами. скачивается файл размером 0 байт