Qual era l'indirizzo IP più probabile di we8105desk il 24 agosto 2016?

Qual è il nome della chiavetta USB inserita da Bob Smith?

Dopo l'inserimento dell'USB, avviene l'esecuzione del file che rappresenta l'infezione iniziale di Cerber. L'esecuzione di questo file crea due processi aggiuntivi. Qual è il nome del file?

Durante l'infezione iniziale di Cerber viene eseguito uno script VB. L'intero script di questa esecuzione, preceduto dal nome del file .exe di avvio, può essere trovato in un campo in Splunk. Qual è la lunghezza in caratteri di questo campo?

La workstation di Bob Smith (we8105desk) era connessa a un file server durante l'epidemia di ransomware. Qual è l'indirizzo IP del file server?

Qual è stato il primo dominio sospetto visitato da we8105desk il 24 agosto 2016?

Il malware scarica un file che contiene il codice crittografico del ransomware Cerber. Qual è il nome di quel file?

Qual è l'ID del processo principale di 121214.tmp?

Tra le firme Suricata che hanno rilevato il malware Cerber, quale ID di firma ha ricevuto l'allarme il minor numero di volte?

Il ransomware Cerber crittografa i file che si trovano nel profilo Windows di Bob Smith. Quanti file .txt crittografa?

Quanti PDF distinti ha crittografato il ransomware sul file server remoto?

A quale nome di dominio completo (FQDN) il ransomware Cerber tenta di indirizzare l'utente al termine della fase di crittografia?