在看似人为的勒索软件攻击之后,我正在分析系统。这是一个 Windows Server 2016,我创建了通常的管理员帐户。现在我看到在攻击过程中,C:\Users 文件夹下出现了一个新的“Administrador.WIN-RSDLE3HIAER”帐户。旧的普通管理员仍然存在,但似乎所有文件现在都在新创建的帐户下(下载、收藏夹、桌面等......仍在原始帐户中,但为空)。就像个人资料已移至新帐户一样。
我的问题是,在寻找学习的过程中,为什么要这样做,为什么要创建一个新帐户?这是对攻击者的某种自我保护吗?为什么我所有的原创内容现在都在新创建的帐户下?我仍然可以在登录页面下输入“管理员”并访问我的个人资料,所以这就是为什么我无法理解新帐户/文件夹的性质,我是如何被重定向的......总之......这东西是如何工作的?
干杯
可能的解释:没有新帐户,也不是攻击者故意创建的新文件夹。管理员帐户的用户配置文件在攻击过程中被破坏,或者被一些防御或恢复措施破坏。这随后触发了 Windows 的配置文件修复机制。
当 Windows 在登录时加载用户的配置文件时遇到不可恢复的错误,它会自动创建一个新的配置文件文件夹,并在名称后附加一个随机后缀。它还尝试从旧的、损坏的配置文件中转移尽可能多的数据。因此,该文件夹
C:\Users\Administrador.WIN-RSDLE3HIAER将只是现有管理员帐户的新配置文件文件夹Administrador。要确认这一点,请检查文件夹
C:\Users\Administrador和的所有者和权限C:\Users\Administrador.WIN-RSDLE3HIAER,并将它们与 Windows 安全帐户管理器 (SAM) 数据库中的本地用户相匹配。如果您是从实时 Linux 系统执行此操作,请使用chntpw访问 SAM 数据库文件之类的工具%SystemRoot%\System32\config\SAM。