Sunucu işletim güncel değilse ve RDP açıksa oradan gelmişlerdir. Bkz . https://www.siberguvenlik.web.tr/ind...sifreliyorlar/
Ya da mail ile gelen dosyaya tıklamışlardır.