Máy server của mình bị mã hóa dữ liệu liên tục mặc dù đã cài KAS bản quyền

[Iwanareset]

Dear ace.
Mong diễn đàn có ace nào đã biết hoặc gặp như thế này tư vấn giúp mình cách kiểm tra và phòng tránh với:
Hiện tại bên mình đang có 1 con server vật lý cài đặt ảo hóa trên nền vmware 3 máy ảo windows server standard.
- Máy ảo hóa 1: Cài phần mềm THĐ có đẩy dữ liệu từ client lên theo các request lưu vào database sql
- Máy ảo hóa 2: Không cài đặt gì. Chỉ có HĐH
- Máy ảo hóa 3: Cài đặt phần mềm như diễn đàn của web. Mọi người có thể truyền file cho nhau và đăng file lên
Đương nhiên là 3 máy này chung đường internet của máy vật lý.
=>Sau khi chạy 1 thời gian khoảng 7, 8 ngày máy ảo 1 bị mã hóa hết dữ liệu. đã phát hiện file backup của phần mềm này khi cài đặt lại phần mềm chứa virus.
=> 1 ngày sau máy ảo hóa 2 cũng bị theo nhưng mã hóa kiểu biến thể khác. không biết có phải con virus bên kia lây qua không
=> Máy ảo 3 vẫn chạy bình thường.
Sau đó bên mình có nhờ bên vmware sang xóa và cài lại HĐH máy 1 và 2. sau đó bên mình cài luôn KAS cả ba máy có bản quyền.
Chạy được khoảng 2 tuần máy ảo hóa 3 bị mã hóa kể cả KAS ((.
Bây giờ bên mình k biết nguồn gốc lây lan từ đâu: qua mạng lan hay cài máy ảo có thể lây qua nhau hay là bị tấn công qua internet. Rất mong ace tư vấn giúp mình phương án kiểm tra và phòng tránh ạ.
Trân thành cảm ơn!

 

Đây là 1 vài thông tin thêm: trong ổ C của mình thấy có 1 forder lạ

 

Bạn đã thực hiện rà soát như: rà soát các user người dùng, đổi tất cả các tài khoản với mật khẩu mạnh, đổi port remote desktop mặc định, tài khoản truyền file ...
Bạn có thể vào mục Event Log trích xuất log Security để biết đc cách kẻ tấn công thực hiện tấn công và thời gian thực thi

 

Bạn đã thực hiện rà soát như: rà soát các user người dùng, đổi tất cả các tài khoản với mật khẩu mạnh, đổi port remote desktop mặc định, tài khoản truyền file ...
Bạn có thể vào mục Event Log trích xuất log Security để biết đc cách kẻ tấn công thực hiện tấn công và thời gian thực thi

Vì server của mình bị mã hóa hết nên không thể vào control panel được bạn ah. Có cách khác nào kiểm tra không bạn. Về tài khoản/mật khẩu mình đặt hơi yếu thật, remote desktop thì mình đã đổi sang port khác. Còn tài khoản truyền file là gì hả bạn. Có cách nào để mình truy vết khác không ạ

 

Mình đang lo k biết 2 con máy ảo 1 và máy ảo 2 sắp tới có bị ngẻo hay không

 

Trường hợp này mình gặp nhiều. Thường bị tấn công dò mật khẩu nhé bạn

 

Trường hợp này mình gặp nhiều. Thường bị tấn công dò mật khẩu nhé bạn

Bạn hướng cho mình cách phòng tránh được k. Cài KAS mà còn bị thế này thì căng quá. Đập hết để cài lại thì cũng ngán vì phần mềm bên mình dựng để chạy rất lâu. Cài lại mỗi máy ảo 3 thì sợ không sạch được

 

Bạn đã thực hiện rà soát như: rà soát các user người dùng, đổi tất cả các tài khoản với mật khẩu mạnh, đổi port remote desktop mặc định, tài khoản truyền file ...
Bạn có thể vào mục Event Log trích xuất log Security để biết đc cách kẻ tấn công thực hiện tấn công và thời gian thực thi

Cái mục Event Log mình xem ở 1 tài khoản khác ví dụ tài khoản admin xem cho tài khoản Administrator có được không nhỉ.

 

Được bạn nhé. Khi chạy event log nó quyền cao nhất rồi. Xem được các tài khoản khác đăng nhập...

 

Được bạn nhé. Khi chạy event log nó quyền cao nhất rồi. Xem được các tài khoản khác đăng nhập...

Có bạn nào rảnh cho mình số điện thoại mình trao đổi hỗ trợ mình chút được không?

 

Nghi vấn kịch bản tấn công như sau: server bị chiếm quyền điều khiển > cài đặt Process Hacker vào để kill Kaspersky > thực thi mã độc.
Chi tiết thì bạn rà soát như anh em hướng dẫn trên và cập nhật thông tin để mọi người hỗ trợ nhé .

 

Nghi vấn kịch bản tấn công như sau: server bị chiếm quyền điều khiển > cài đặt Process Hacker vào để kill Kaspersky > thực thi mã độc.
Chi tiết thì bạn rà soát như anh em hướng dẫn trên và cập nhật thông tin để mọi người hỗ trợ nhé .

Server bị chiếm quyền điều khiển này là do tấn công dò pass hay có thể do virus chứa sẵn trong máy mình từ trước bạn? Nếu chứa trong máy mình từ trước mà KAS không quét được ra thì nguy hiểm quá.

 

Nay mình vào tài khoản Administrator thì có vẻ bị tấn công từ tài khoản này. Mật khẩu mình đặt là 12345aA@ thì có bị dò ra không nhỉ, nếu không thì trong máy mình đúng là có virus sẵn mà KAS không quét ra. AE có bài viết hướng dẫn nào đầy đủ về dựng các rule cho server cài mới không cho mình xin với. Mình tính xóa sạch cài lại cho con máy ảo 3. không biết máy 1, 2 có bị lây sang không nhưng đến bây giờ vẫn đang chạy bình thường.

 

 

Khả năng lây qua mạng lan giữa 3 con máy ảo có cao không nhỉ. 3 con này chạy 3 phần mềm riêng rẽ không đụng chạm gì đến nhau. Ổ chứa dữ liệu của các máy ảo có dính dáng gì đến nhau không ae nhỉ