RomaNNN

https://news.sophos.com/en-us/2019/10/01/lemon_duck-powershell-malware-cryptojacks-enterprise-networks/

По поводу сабжа - насколько вижу, в системе побывал Monero Mining Worm aka WannaMine, который любит эксплуатировать EthernalBlue, EsteemAudit, а также трюки с PowerShell-ом. Еще может создавать админские учетки для своих нужд, так что устройте аудит на предмет левых пользователей, расшаренных каталогов, RDP сессий.

Eugene Muzychenko, клик должен работать, только что проверил, зеленое имя угрозы кликабельно и открывает браузер с поиском по базе на vms (https://vms.drweb.com/search/?q=). Но там уж как повезет, описание далеко не каждой малвари есть в публичной базе.

Здравствуйте.

Да, есть такое, поправим.

Smart_D15, как я уже говорил, в системе живет куча непонятно чего. Те файлы, которые мне приглянулись при осмотре, аналитики посмотрели и угроз не нашли. Но на 100 процентов утверждать ничего нельзя, тем более с этой аномалией незагрузки драйвера. Может быть руткит, а может баг какой-то.

Если есть желание и время, можно заморочиться с переносом системы в виртуалку, очисткой от конфиденциальных и ненужных тяжелых данных и передачи виртуалки нам, так будет проще дебажить, ибо этот случай уникальный. Главное чтобы при клонировании аномалия не ушла, а то обидно будет

Если интересно, напишу инструкции в ЛС.