问题
几周前,我们遭受了名为“Money”的 Dharma 勒索软件变种的攻击。我们错误地认为,该变种在用户打开恶意附件或链接时就开始了。
星期六我们发现它实际上像现在很多文件一样被延迟了,所以尽管我们有不错的备份策略和备份保留,但我们无法自信地说我们不只是在恢复到潜伏病毒的快照。
由于我们第一次恢复所有服务器的快照后,仅仅 10 天就再次出现了同一种病毒,因此我们不确定需要回溯多久才能确保我们脱离困境。
检测尝试
我们在服务器上运行了 malwarebytes premium,我们认为这是导致这一混乱的原因,但它没有检测到任何东西。第一次攻击后,我们用 Malwarebytes Premium 进行了多次扫描,并在我们认为安全的恢复快照上启用了带有受控文件夹的 Windows Defender。由于我们没有发现任何东西,我们错误地认为我们安全了。
其他信息
我们认为启动病毒的远程桌面虚拟机这次已被删除,而不是恢复到快照,但我们有许多其他服务器无法这样做。
有没有人有过这种病毒的经验,或者知道如何检测潜伏的恶意 EXE?或者你用过哪些好的反勒索软件?
我们都恢复了,但我们确实需要一些关于预防和检测这种病毒以及其他类似勒索软件的指导。