Início / server / Perguntas / 1020931
Accepted
kankamuso
Asked: 2020-06-11 12:38:19 +0800 CST

Após o ataque cibernético, uma nova conta de Administrador apareceu, o que, como e para quê? [duplicado]

  • 772

Depois do que parece um ataque de ransomware dirigido por humanos, estou analisando o sistema. É um Windows Server 2016 e eu criei a conta de administrador usual. Agora vejo que durante o ataque, uma nova conta "Administrador.WIN-RSDLE3HIAER" apareceu na pasta C:\Users. O antigo Administrador simples ainda existe, mas parece que todos os arquivos estão agora na conta recém-criada (Donwloads, favoritos, Desktop, etc... ainda estão na conta original, mas vazias). É como se o perfil tivesse sido movido para a nova conta.

Minha pergunta, na busca de aprendizado é por que isso é feito, por que criar uma nova conta? Isso é algum tipo de autoproteção dos atacantes? Por que todo o meu conteúdo original está agora na conta recém-criada? Eu ainda poderia entrar em "Administrador" na página de login e acessar meu perfil, então é por isso que não consigo entender a natureza da nova conta/pasta, como fui redirecionado... em uma palavra... como isso funciona?

Felicidades

windows security brute-force-attacks windows-server-2012-r2

1 respostas

  1. Best Answer

    Possível explicação: não há nova conta, nem a nova pasta foi criada intencionalmente pelo invasor. O perfil de usuário da conta de administrador foi danificado durante o ataque ou por algumas medidas de defesa ou recuperação. Isso desencadeou o mecanismo de reparo de perfil do Windows.

    Quando o Windows encontra um erro irrecuperável ao carregar o perfil de um usuário durante o logon, ele cria uma nova pasta de perfil automaticamente, acrescentando um sufixo aleatório ao nome. Ele também tenta mover o máximo de dados possível do perfil antigo e danificado. Portanto, a pasta C:\Users\Administrador.WIN-RSDLE3HIAERseria apenas uma nova pasta de perfil para a conta de administrador existente Administrador.

    Para confirmar isso, verifique o proprietário e as permissões das pastas C:\Users\Administradore C:\Users\Administrador.WIN-RSDLE3HIAER, e corresponda-os aos usuários locais no banco de dados do Windows Security Account Manager (SAM). Se você estiver fazendo isso em um sistema Linux ativo, use uma ferramenta como chntpwpara acessar o arquivo de banco de dados SAM %SystemRoot%\System32\config\SAM.

    • 1

relate perguntas