在经历了一次看似人为的勒索软件攻击后,我正在分析系统。这是一台 Windows Server 2016,我创建了常用的管理员帐户。现在我看到在攻击期间,一个新的“Administrador.WIN-RSDLE3HIAER”帐户出现在 C:\Users 文件夹下。旧的普通管理员仍然存在,但似乎所有文件现在都在新创建的帐户下(下载、收藏夹、桌面等……仍在原始帐户中,但为空)。这就像将配置文件移至新帐户一样。
我的问题是,为了学习,为什么要这样做,为什么要创建一个新帐户?这是对攻击者的某种自我保护吗?为什么我所有的原始内容现在都在新创建的帐户下?我仍然可以在登录页面下输入“管理员”并访问我的个人资料,这就是为什么我无法理解新帐户/文件夹的性质,我是如何被重定向的……总之……这个东西是如何工作的?
干杯
答案1
可能的解释:没有新账户,新文件夹也不是攻击者故意创建的。管理员账户的用户配置文件在攻击过程中被破坏,或者被某种防御或恢复措施破坏。这触发了 Windows 的配置文件修复机制。
当 Windows 在登录时加载用户配置文件时遇到不可恢复的错误时,它会自动创建一个新的配置文件文件夹,并在名称后附加一个随机后缀。它还会尝试从旧的损坏配置文件中移出尽可能多的数据。因此,该文件夹C:\Users\Administrador.WIN-RSDLE3HIAER只是现有管理员帐户的新配置文件文件夹Administrador。
C:\Users\Administrador要确认这一点,请检查文件夹和的所有者和权限C:\Users\Administrador.WIN-RSDLE3HIAER,并将它们与 Windows 安全帐户管理器 (SAM) 数据库中的本地用户进行匹配。如果您从实时 Linux 系统执行此操作,请使用类似 的工具chntpw来访问 SAM 数据库文件%SystemRoot%\System32\config\SAM。