¿Cuál era la dirección IP más probable de we8105desk el 24 de agosto de 2016?

¿Cuál es el nombre de la memoria USB insertada por Bob Smith?

Después de la inserción del USB, se ejecuta un archivo que es la infección inicial de Cerber. La ejecución de este archivo crea dos procesos adicionales. ¿Cuál es el nombre del archivo?

Durante la infección inicial de Cerber se ejecuta un script VB. El script completo de esta ejecución, precedido por el nombre del .exe de inicio, se puede encontrar en un campo en Splunk. ¿Cuál es la longitud en caracteres de este campo?

La estación de trabajo de Bob Smith (we8105desk) estaba conectada a un servidor de archivos durante el brote de ransomware. ¿Cuál es la dirección IP del servidor de archivos?

¿Cuál fue el primer dominio sospechoso visitado por we8105desk el 24 de agosto de 2016?

El malware descarga un archivo que contiene el código criptográfico del ransomware Cerber. ¿Cuál es el nombre de ese archivo?

¿Cuál es el ID del proceso principal de 121214.tmp?

Entre las firmas de Suricata que detectaron el malware Cerber, ¿qué ID de firma alertó el menor número de veces?

El ransomware Cerber cifra los archivos ubicados en el perfil de Windows de Bob Smith. ¿Cuántos archivos .txt cifra?

¿Cuántos archivos PDF distintos cifró el ransomware en el servidor de archivos remoto?

¿A qué nombre de dominio completo (FQDN) intenta dirigir el ransomware Cerber al usuario al final de su fase de cifrado?