3615 Incident 1/3

forensics mémoire windows FCSC 2019 résolu le

star

Description

Une victime de plus tombée sous le coup d’un rançongiciel. Le paiement de la rançon n’est pas envisagée vu le montant demandé. Vous êtes appelé pour essayer de restaurer les fichiers chiffrés.

Pour commencer, quel est le nom du fichier exécutable de ce rançongiciel, son identifiant de processus et quel est devenu le nom du fichier flag.docx une fois chiffré ? Donnez le SHA1 de ce nom avec son extension.

Note : Réponse attendue au format ECSC{nom_du_rançongiciel.exe:pid:sha1}.

Cette épreuve est découpée en trois parties :

Fichiers

  • mem.dmp.tar.xz
    338.19 MiB – 6003d62b4b4ecd8fb43be8802f6f429400c77a2bb082f0b7d3f93550e62babe5

Auteur

alx

Flag

Partager ma réussite sur Fediverse, Twitter, Linkedin, Facebook, ou par email.

Soumettez votre solution

Vous pouvez envoyer votre solution rédigée pour cette épreuve. La FAQ contient la marche à suivre.

Vous avez besoin d'être identifié(e) pour soumettre une solution.

Solutions

J'ai cherché longtemps et je ne trouve toujours pas le flag !

Vous pouvez voter pour les solutions que vous préférez en utilisant le présent sur leurs pages respectives.

DateAuteur Langue Tags Vote
2023-12-06
hashp4
🇫🇷