Помощь в локализации backdoor w2022

[Aleks13]

Здравствуйте уважаемые

Есть терминальный сервер на win2022, установлен Касперский  security for win sever 11.01.897/

В фаерволе были закрыты службы внешнего управления (реестра, шар), пароли сложные на RDP, защита от перебора rdpguard

однако злоумышленник смог проникнуть в систему, создал административную учётку systemsys и установил ПО diskcrypt для шифровки дисков. Бэкап есть, но хотелось бы понять, как и закрыть дыру. 

Сработки Касперского не было. В логах только это:

23.09.2023 16:46	Сервер администрирования остановлен.	Сервер администрирования остановлен.	Сервер администрирования Kaspersky Security Center
23.09.2023 16:46	Прокси-сервер KSN остановлен.	Прокси-сервер KSN остановлен.	Агент администрирования Kaspersky Security Center
23.09.2023 16:46	Установлена программа.	Программа DiskCryptor 1.1 версии 1.1 установлена.	Агент администрирования Kaspersky Security Center

 

23.09.2023 17:13    Устройство удалено.    Устройство 'Microsoft Remote Display Adapter' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967
23.09.2023 17:13    Устройство удалено.    Устройство 'Generic Non-PnP Monitor' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967

 

прошу подсказать
 

CollectionLog-2023.09.25-12.21.zip

[Aleks13]

И логи FRST

Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Один из файлов типа

Цитата

C:\Users\Администратор\Desktop\Hacked_How_to_get_back_your_data.txt

прикрепите к следующему сообщению.

 

Но вам нужно обратиться напрямую в техн. поддержку - для пользователя корпоративным продуктом https://support.kaspersky.ru/b2b/#contacts

Или в соотв. ветку форума:

https://forum.kasperskyclub.ru/forum/142-pomosch-po-korporativnym-produktam/

 

Изменено 25 сентября, 2023 пользователем Sandor

[Aleks13]

прикрепил

вопрос в том, что техподдержка  распространяется на работу продукта, а антивирус вроде как работает, ошибок не выдал.  Тут какая то закладка видимо. 

я не видел, что в ветке по корп продуктам такое обсуждают, стоит пересоздать тему там?

Hacked_How_to_get_back_your_data — копия (4).txt

[Sandor]

3 часа назад, Aleks13 сказал:

злоумышленник смог проникнуть в систему, создал административную учётку systemsys и установил ПО diskcrypt для шифровки дисков

То есть, шифрование произошло? Какое расширение стало у зашифрованных файлов? По логам не видно.

 

3 часа назад, Aleks13 сказал:

установлен Касперский  security for win sever 11.01.897

Потому и советую обратиться в ТП. Они должны разобраться почему такое произошло и что следует предпринять.

 

11 минут назад, Aleks13 сказал:

не видел, что в ветке по корп продуктам такое обсуждают, стоит пересоздать тему там?

Там обсуждают всё, что касается таких продуктов. Не пересоздайте, а создайте параллельно. Ссылку на эту тему там укажите.

[Aleks13]

35 минут назад, Sandor сказал:

То есть, шифрование произошло? Какое расширение стало у зашифрованных файлов? По логам не видно.

 

Да, зашифрован полностью диск с файлами. Обычной утилитой шифрования - diskcrypt 14 года. Она не является вредоносной. А запущенная локально не была блокирована

 

37 минут назад, Sandor сказал:

Потому и советую обратиться в ТП. Они должны разобраться почему такое произошло и что следует предпринять.

 

попробую