Несколько недель назад мы получили распространение Dharma Ransomware под названием «Деньги». Мы сделали неверное предположение, что этот вариант начался как раз в тот момент, когда пользователь открыл вредоносное вложение или ссылку.
В субботу мы обнаружили, что на самом деле это было отложено по времени, как многие из них в наши дни, поэтому, хотя у нас есть достойные политики резервного копирования и хранения резервных копий, у нас нет никакого способа с уверенностью сказать, что мы не просто восстанавливаем снимки на которых живет спящий вирус.
Поскольку наше первое восстановление моментальных снимков всех серверов закончилось повторением того же вируса всего через 10 дней, мы не уверены, как далеко нам нужно вернуться, чтобы быть уверенным, что мы выбрались из леса.
У нас на сервере, который, как мы полагаем, запустил этот беспорядок, было запущено приложение Malwarebytes Premium, но он ничего не обнаружил. После первой атаки мы провели множество сканирований с помощью Malwarebytes Premium и включили Защитник Windows с управляемой папкой на восстановленном снимке, который, по нашему мнению, был безопасным. Поскольку мы ничего не нашли, мы ошибочно предположили, что находимся в ясном месте.
Виртуальная машина удаленного рабочего стола, которая, как мы думаем, запустила вирус, на этот раз была удалена, а не восстановлена в моментальный снимок, но у нас есть много других серверов, с которыми мы не можем этого сделать.
Есть ли у кого-нибудь опыт работы с этим вирусом или идеи о том, как мы можем обнаружить скрытый вредоносный EXE? Это или какое-либо хорошее программное обеспечение для защиты от программ-вымогателей, с которым вы сталкивались?
Мы все вернулись обратно, но нам действительно нужны некоторые рекомендации по предотвращению и обнаружению этого вируса и других подобных программ-вымогателей.