Как взломали то?
Поймал шифровальщика jami_decryptionguy на домашний (!) Win2019srv сервер. Он там всё поназашифровал... Понятно что меня это не особо опечалило, всё ценное у меня в бэкапах, а пара терабайт фильмов... ну xyй с ним, трафик безлимитный. Только теперь систему переставлять и настраивать.
Но сука, как, как он туда прорвался. Наружу торчит один порт RDP под 12 символьным бессмысленным паролем (Ну надо). Домашняя сетка чистая (по крайней мере касперский и дрвеб так говорят) Какая то 0-day уязвимость? Апдэйты пару месяцев на винду не ставил? Да ну нафиг. Как они ломают то? Как проникают на комп? Я туда даже по RDP те же два месяца не заходил. Порылся в файликах, ничего нового, логи - понятно, похерены...
Сижу, курю, ковыряюсь...
UPD: Нашел странный косяк. Первое что я делаю, когда ставлю новый сервак, завожу новый аккаунт и отключаю аккаунт "администратор"\"administrator". Это уже на автомате делается. Сейчас смотрю на домашнем серваке - включен. Лезу на рабочий, там нормальное железо, но операционка та же - включен. 0_о Какой то апдейт винды включил встроенный аккаунт админа?
UPD2: Ага, разобрался в методике взлома. Остается непонятным как включили, гарантированно выключенный аккаунт администратора... пароль там стоял простой. Брутфорсом легко пробивался. Через него и ломанули. В папочке со странным названием нашел gui40.exe который оказался Tnega!MSR, а сам шифровальщик вполне обычный и даже не вирус. Ключ затёрли хорошо, найти не смог. Так что перенастраиваю уже. Остался вопрос, как включили администратора.