Was war die wahrscheinlichste IP-Adresse von we8105desk am 24.08.2016?

Wie lautet der Name des von Bob Smith eingesteckten USB-Sticks?

Nach dem Einstecken des USB-Sticks wird eine Datei ausgeführt, die die erste Cerber-Infektion darstellt. Diese Dateiausführung erstellt zwei zusätzliche Prozesse. Wie lautet der Name der Datei?

Während der ersten Cerber-Infektion wird ein VB-Skript ausgeführt. Das gesamte Skript dieser Ausführung, dem der Name der startenden EXE-Datei vorangestellt ist, ist in einem Feld in Splunk zu finden. Wie lang ist dieses Feld in Zeichen?

Die Workstation (we8105desk) von Bob Smith war während des Ransomware-Ausbruchs mit einem Dateiserver verbunden. Wie lautet die IP-Adresse des Dateiservers?

Welche war die erste verdächtige Domäne, die we8105desk am 24. August 2016 besucht hat?

Die Malware lädt eine Datei herunter, die den Verschlüsselungscode der Cerber-Ransomware enthält. Wie heißt diese Datei?

Was ist die übergeordnete Prozess-ID von 121214.tmp?

Welche der Suricata-Signaturen, die die Cerber-Malware erkannt haben, hat am wenigsten Alarm ausgelöst?

Die Cerber-Ransomware verschlüsselt Dateien im Windows-Profil von Bob Smith. Wie viele TXT-Dateien werden verschlüsselt?

Wie viele verschiedene PDF-Dateien hat die Ransomware auf dem Remote-Dateiserver verschlüsselt?

Zu welchem vollqualifizierten Domänennamen (FQDN) versucht die Cerber-Ransomware den Benutzer am Ende der Verschlüsselungsphase umzuleiten?