-
Une victime de plus tombée sous le coup d’un rançongiciel. Le paiement de la rançon n’est pas envisagée vu le montant demandé. Vous êtes appelé pour essayer de restaurer les fichiers chiffrés.
Une suite d’éléments est nécessaire pour avancer dans l’investigation et constituer le rapport d’incident.
Pour commencer, quel est le nom du fichier exécutable de ce rançongiciel, son identifiant de processus et quel est devenu le nom du fichier flag.docx une fois chiffré ? Donnez le SHA1 de ce nom avec son extension.
Note : l’image disque fait environ 440 Mo compressée et environ 1.4 Go décompressée. Réponse attendue au format ECSC{nom_du_rançongiciel.exe:0:sha1}.
$ sha256sum mem.dmp ce117720fa4126f57814b3a779a7eb4ba21570e3f5dfd44a6706771783a46f1b mem.dmp
1 fichier :
mem.dmp