Quelle était l'adresse IP la plus probable de we8105desk le 24 août 2016 ?

Quel est le nom de la clé USB insérée par Bob Smith ?

Après l'insertion USB, une exécution de fichier se produit et constitue l'infection initiale de Cerber. Cette exécution de fichier crée deux processus supplémentaires. Quel est le nom du fichier ?

Lors de l'infection initiale par Cerber, un script VB est exécuté. L'intégralité du script de cette exécution, précédé du nom du .exe de lancement, se trouve dans un champ de Splunk. Quelle est la longueur en caractères de ce champ ?

Le poste de travail de Bob Smith (we8105desk) était connecté à un serveur de fichiers lors de l'épidémie de ransomware. Quelle est l'adresse IP du serveur de fichiers ?

Quel a été le premier domaine suspect visité par we8105desk le 24 août 2016 ?

Le malware télécharge un fichier contenant le code de chiffrement du ransomware Cerber. Quel est le nom de ce fichier ?

Quel est l’ID de processus parent de 121214.tmp ?

Parmi les signatures Suricata qui ont détecté le malware Cerber, quel ID de signature a alerté le moins de fois ?

Le ransomware Cerber crypte les fichiers situés dans le profil Windows de Bob Smith. Combien de fichiers .txt crypte-t-il ?

Combien de fichiers PDF distincts le ransomware a-t-il chiffré sur le serveur de fichiers distant ?

Vers quel nom de domaine complet (FQDN) le ransomware Cerber tente-t-il de diriger l'utilisateur à la fin de sa phase de cryptage ?