Сергей, спасибо,
файлы получил, некоторое время необходимо для анализа. в этот раз все получилось. отслеживание включено,
странно, что образ выполнен не последней версией. (4.11.11), проверю. --- обновил до 4.11.12

продукт ESET удаляем из безопасного режима системы с помощью ESETUninstaller (предварительно скачать)
https://download.eset.com/com/eset/tools/installers/eset_apps_remover/latest/esetu­ninstaller.exe
тема для ознакомления
https://support.eset.com/ru/kb2289-eset-eset-uninstaller

судя по образу версия обновилась.
Exchange Server 2016 CU21 29 июня 2021 г. 15.1.2308.8 15.01.2308.008



рекомендуется так же установить все критические обновления для системы.

да, здесь есть запуск майнера
но жаль,  что вы не обратили внимание на просьбу
а), сделать образ актуальной версией uVS 4.11.12
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
перед созданием образа необходимо чтобы были выполнены твики 39 и  41, которые включают отслеживание создаваемых процессов и задач, с момента загрузки системы+ отслеживание логов DNS с целью определить (процесс или задачу) источник запуска майнера.

файл лога был создан в данной папке? вот он и нужен для анализа.
проверить локальный сервер и скопировать идентифицированные журналы и файлы в OutPath:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs -CollectFiles
-------------------------

>>>антивируса пока нет там
проверьте систему сканерами:
1. Microsoft Safety Scanner
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
2. Malwarebytes
https://forum.esetnod32.ru/forum9/topic10688/
3. добавьте лог ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/


>>>майнер запускается в выходные раз в две недели....
майнер запустился уже после установки куммулятивного обновления?


что нужно сделать:
1. скачаь актуальную версию uVS 4.11.12 отсюда

2. выполнить скрипт в uVS с перезагрузкой системы, в удобное для вас время, накануне предполагаемого запуска майнера.


3. как только майнер запустится, создать образ автозапуска в uVS.
(uVS можно предварительно запустить, но образ создавать только после запуска процесса с майнером)

4. после создания образа автозапуска - процесс с майнером можно закрыть.

5. далее, уже анализируем (здесь) по образу, какая доп. информация попадет (по процессам, задачам, логам DNS)

1. по обновлениям Exchange проверили -установлены актуальные патчи?

2. выполните скрипт проверки на уязвимость Test-ProxyLogon.ps1 на наличие новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1

файл, который формирует скрипт в формате csv пришлите пожалуйста в почту [email protected]

3. 4. так же можно проверить наличие уязвимости из локальной сети используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse


4. есть ли антивирусная защита на данном сервере (судя по образу - не обнаружена), есть ли какие то логи или журналы, которые фиксируют запуск майнера?

5. ждем в гости майнер - если есть четкое расписание его запуска, и фиксируем его запуск с помощью uVS. скрипт, в таком случае, добавленный выше с обнаружением процессов и задач и логов DNS можно выполнить накануне "визита".

uVS v4.11.10 [http://dsrt.dyndns.org:8888]: Windows Server 2012 R2 Standard x64 (NT v6.3 SP0) build 9600  [C:\WINDOWS]
Microsoft Exchange Server 2016

проверьте, установлен ли у вас актуальный патч
https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
судя по образу uVS у вас может быть быть очень древний дистрибутив установлен.
Exchange Server 2016 RTM 1 октября 2015 г. 15.1.225.42 15.01.0225.042

1. пробуйте сделать образ автозапуска актуальной версией 4.11.12
скачать по ссылке:
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка,
------------
далее, надо дождаться запуска майнера, если появляется после загрузки системы, и сделать образ автозапуска не закрывая процесс с майнером
как только образ будет создан, процесс майнера можно закрыть

CryLock в основном так и работает. (Есть образцы, которые грузятся в автозапуск). В вашем случае здесь - интерактивный инструмент. Взлом системы, отключение защиты, поиск в сети возможных целей для шифрования, затем само шифрование. В вирлабе есть подобные инструменты. на текущий момент расшифровка невозможна. Последняя возможная была 1.9.0.0

в сети уже встречаются версии Crylock 2.3.0.0

Если на текущий момент система очищена, добавьте образ автозапуска+ логи ESETlogCollector, +можно добавить логи FRST
больше будет инфо для анализа.

На системе необх выполнить аудит, чтобы были установлены все важные обновления+ если есть доступ по RDP из внешней сети, разрешить доступ только с белых адресов.

да, это Cryakl/CryLock v {2.0.0.0} на текущий момент без расшифровки

https://www.virustotal.com/gui/file/b2db63e4ec291efa8d721bbd0155043667bc9c8b005e0ce­a1c5307cfc5a76e64

https://id-ransomware.malwarehunterteam.com/identify.php?case=924f0e44f9e820ddcba0d46341029e9ea0bea277

если необходима помощь в очистке системы, то нужен образ автозапуска системы



зашифрованные файлы (после очистки системы) сохраните на отдельном носителе, возможно в будущем будет возможность расшифровки.

версия {2.0.0.0} без расшифровки на текущий момент,
если есть важные зашифрованные файлы, сохраните их на будущее,
возможно в будущем расшифровка по данной версии станет доступной.

если необх помощь в очистке системы, добавьте образ автозапуска системы
+
добавьте логи EsetlogCollector для анализа путей возможного проникновения на ваш сервер или рабочую станцию
https://forum.esetnod32.ru/forum9/topic10671/

что мешает самому опубликовать новость по версии 15

проверьте архив с файлами. скачивается файл размером 0 байт