От
g0105
Доброго дня, 29 мая 2018г. был взломан наш сервер Win2012r2 (все обновления на данную дату присутствуют), похоже по RDP. У пользователя был слишком легкий пароль. В логах видно кучу коннектов по RDP, похоже подбор пароля. RDP висел на нестандартном порту, но это не помешало))
Прошу в помощи расшифровать файлы, файлы выглядят вот так:
helps@tutanota.com_323242454B2E377A
helps@tutanota.com_456E7679626F785F2E657865
helps@tutanota.com_48505F456C697465626F6F6B5F32353430705F66756C6C5F62315F73315F76312E746962
helps@tutanota.com_536C61636B53657475702E657865
helps@tutanota.com_5468756D62732E6462
helps@tutanota.com_77696E377836342D6F6E655F66756C6C5F62315F73315F76312E746962
helps@tutanota.com_D09AD0B0D180D182D0B8D0BDD0BAD0B02E706E67
и т.д.
Предположение, что взлом именно по RDP потому-что файлы зашифрованные в папках доступных только этому пользователю.
Также при обнаружении в диспетчере висел процесс DontSleep_p.exe который я сразу завершил, лежал файлик в документах текущего пользователя.
Cнял логи)
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти