Смотрю сервер у Вас бывалый, был заражен Win32.Sector.30 в 2017, с тех пор почти до 2019 находились и нейтрализовывались файлы в различных местах. Это, наверное, тот редкий случай, когда нужно поставить сканер на полное сканирование и лечить. Делали?
А вот попытки заразить WannaCry-ем первый раз пресечены 25.12.2018, и с тех пор регулярно:
Preventive Protection event: Drop new executable file on disk
id: 1073, timestamp: 08:29:59.942, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 520/556:\Device\HarddiskVolume2\Windows\System32\lsass.exe
context: start addr: 0x7778fbf0, image: 0x77770000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
fileinfo: size: 3723264, easize: 39, attr: 0x24, buildtime: 20.11.2010 12:03:08.000, ctime: 26.12.2018 08:29:59.940, atime: 26.12.2018 08:29:59.940, mtime: 26.12.2018 08:29:59.942, descr: , ver: , company: , oname:
hash: 3b669778698972c402f7c149fc844d0ddb3a00e8 status: unsigned, pe32 / unsigned / unknown / unknown
drop new executable: \Device\HarddiskVolume2\Windows\mssecsvc.exe
id: 1073 ==> allowed [2], time: 28.137584 ms
Первую версию мы даже в лицо узнали по сигнатурам:
Neutralized object: \device\harddiskvolume2\windows\mssecsvr.exe - quarantined [threat name: {Trojan.Encoder.11432:1}, action: 3, type: 0, ret: 8]
А 3.03.2019 тушку сменили и мы мочили уже по поведению, но все равно до фактического запуска:
Preventive Protection event: Create process
id: 971, timestamp: 08:16:58.423, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 516/548:\Device\HarddiskVolume2\Windows\System32\lsass.exe
context: start addr: 0x7730fbf0, image: 0x772f0000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
created process: \Device\HarddiskVolume2\Windows\System32\lsass.exe:516 --> \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104
sid: S-1-5-18, bitness: 32, ilevel: system, sesion id: 0, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:\Windows\system32\, cmd: C:\WINDOWS\mssecsvc.exe
fileinfo: size: 3723264, easize: 39, attr: 0x24, buildtime: 20.11.2010 12:03:08.000, ctime: 04.03.2019 08:16:58.181, atime: 04.03.2019 08:16:58.181, mtime: 04.03.2019 08:16:58.183, descr: , ver: , company: , oname:
hash: 3b669778698972c402f7c149fc844d0ddb3a00e8 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
hips: type: 18, action: deny [5]
send user blocked alert
path: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> denied access to file
process: \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104 ==> suspended all threads in process
path: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104 ==> terminated
disinfect: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\Windows\mssecsvc.exe
threat: DPH:Trojan.ExecExploit ==> sended user virus found alert
id: 971 ==> denied [5], time: 147915.047408 ms
И так до обновления.
Сегодня утром нашли и вылечили майнер, а также другую вредоносную dll вместе со службой.
Neutralized object: \Device\HarddiskVolume2\Windows\System32\dllhostex.exe - quarantined, reboot required [threat name: {Tool.BtcMine.1980:9}, action: 3, type: 8, ret: 1000008]
Neutralized object: \Device\HarddiskVolume2\windows\system32\secureprotocolmanager.dll - deleted [threat name: {Trojan.Vools.16:1}, action: 2, type: 4, ret: 8]
delete key: path = \Registry\Machine\System\ControlSet001\Services\SecureProtocolManager, status 0x0
delete key: path = \Registry\Machine\System\ControlSet002\Services\SecureProtocolManager, status 0x0
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.