Goedennacht mede-tweakers,
Ik heb net mn exchange server geinfecteerd gehad met zogeheten NM4 ransomware virus.
Dit is een server draaiende server 2008 r2 met exchange 2013 en niets anders.
Backup is helaas kapot (murphy's law).
Dus ben ik nu maar deze opnieuw aan het inrichten om morgen weer draaiende te zijn.
Echter wat mij echt dwars zit is hoe hemelsnaam deze virus op mn server terecht is gekomen.
Alle andere desktops en servers zijn niet geinfecteerd en mijn exchange mailbox database is alleen specific geencrypt.
Ik had een 2e user gevonden genaamd ASP.IISS welke ingelogd was ten tijde van ontdekking van de virus
(ik heb direct deze user uitgelogd en RDP porten dichtgezet).
Mijn windows event logboek is corrupt dus hier kan ik niets terugvinden.
Zou het kunnen zijn dat hier via RDP een ransomware is binnengekomen, of is er een exploit in exchange 2013 / windows server 2008 r2 dit mogelijk maakte ?
Ik voel me echt radeloos/machteloos om in de toekomst mijzelf te kunnen wapenen tegen dit.
Ik heb net mn exchange server geinfecteerd gehad met zogeheten NM4 ransomware virus.
Dit is een server draaiende server 2008 r2 met exchange 2013 en niets anders.
Backup is helaas kapot (murphy's law).
Dus ben ik nu maar deze opnieuw aan het inrichten om morgen weer draaiende te zijn.
Echter wat mij echt dwars zit is hoe hemelsnaam deze virus op mn server terecht is gekomen.
Alle andere desktops en servers zijn niet geinfecteerd en mijn exchange mailbox database is alleen specific geencrypt.
Ik had een 2e user gevonden genaamd ASP.IISS welke ingelogd was ten tijde van ontdekking van de virus
(ik heb direct deze user uitgelogd en RDP porten dichtgezet).
Mijn windows event logboek is corrupt dus hier kan ik niets terugvinden.
Zou het kunnen zijn dat hier via RDP een ransomware is binnengekomen, of is er een exploit in exchange 2013 / windows server 2008 r2 dit mogelijk maakte ?
Ik voel me echt radeloos/machteloos om in de toekomst mijzelf te kunnen wapenen tegen dit.