Le sugerí que no hiciera acciones adicionales, dado que simplemente estaban intentando hackearla, pero no lo lograrán a menos que consiguieran ese número. Ese intento de conexión murió en ese paso tal como indica el capturado.

Análisis de la IP
Aun cuando tiene más puertos abiertos que apuntan a un servidor Debian, el puerto 3128 corresponde a un administrador web de máquinas virtuales.

nmap muestra que los puertos abiertos corresponden a escritorios remotos virtuales de varios Windows diferentes lo que posiblemente pueda ser un
Command and Control de varios bots locales.

“posible investigación futura a realizar”

En este momento aún no sabía qué es lo que estaba pasando en su computador.

El Notebook
Al rato me pidió ayuda. El antivirus de su computadora estaba teniendo una pelea con un malware que intentaba deshabilitarlo mientras el AV intentaba eliminar el archivo comprometido. El mensaje de malware apuntaba a un crypto.MTB, por lo que lo desconecté de la red para seguir la revisión. Le comenté que podíamos estar frente a un ransomware. Mi familiar me contó lo que estaba haciendo y eliminamos el archivo ejecutable. Ahora tocaba identificar todo lo que se instaló.

Nota Importante: Windows 10 estaba actualizado al día, tanto de parches críticos como de definiciones de antivirus.

El Ransomware
Mientras miraba de forma manual los registros y las carpetas nuevas, gatillé la revisión FULL del antivirus, que estaba actualizado hasta un poco antes de haberlo desconectado. Aparecieron más de 10 archivos de malware diferentes y varios procesos detenidos. También intenté detectar y eliminar procesos de estuviera corriendo y que no reconociera, así como cualquier cosa que haya quedado en el inicio o servicio habilitado.
Luego de un reinicio, veo en el escritorio que algunos iconos habían perdido su formato, por lo que revisé las extensiones y tal como se puede asumir, ya estaban cifrados. La extensión era .fgui y según internet aún no hay decrypters liberados.

Los documentos cifrados en el computador no importaban mucho, dado que existía respaldo en su NAS y en la nube. Ahora deberemos revisar el NAS, dado que estaba mapeado directo como unidad de red al equipo infectado.
De vuelta al notebook, tomé las evidencias del link de descarga y unas muestras del ransomware y formateamos el computador completo. No había nada que necesitara rescatarse.

EL NAS (Network Attacked Storage)
Para nuestro asombro sólo la carpeta raíz y unas cuantas más sin importancia fueron afectadas. El resto no sufrió cifrado. Aparentemente desconectamos la red del notebook a tiempo. Programamos una revisión de antivirus full para el Nas, por si el malware dejó alguna sorpresa allí.

Genshin Impact
Lo único que le preocupaba a mi familiar era que no le hayan intervenido su cuenta de Genshin Impact, que es un juego al que le ha dedicado muchísimo tiempo. Tristemente las noticias no fueron buenas. Al momento de loguearse desde su Tablet, el número de verificación que le solicitó para validar su cuenta estaba siendo enviado, según mostraba la ventana, aun correo ruso (@rambler.ru)

Googleamos hasta dar con el protocolo para reportar una cuenta hackeada en la plataforma de Hoyoverse.com
Mientras lamentábamos la pérdida, para evitar otras cuentas comprometidas, comenzó el proceso de cambio de contraseñas de todos los servicios. El cambio de contraseñas duró hasta la 01:00 hrs.

Análisis del Correo

Telegram parte II

8:50AM del siguiente día una respuesta a un mensaje en Telegram alerta nuevamente. Al revisar los mensajes, desde la cuenta se habían enviado unos 20 mensajes de spam anti-putin a destinatarios desconocidos, pero claramente atingentes al conflicto.
Por curiosidad traduje el texto para entender de qué se trataba.

Al mirar en los dispositivos conectados, aparece la IP del intento del día anterior (sin terminar la conexión) pero además una conexión exitosa desde estados unidos. Saqué las evidencias correspondientes y desconecté las sesiones foráneas. Mientras le exigía al soporte de Telegram que atendiera el asunto, dado que se había iniciado una sesión extranjera sin darme aviso, ni proveyendo número de verificación.

Simultáneamente con este descubrimiento apareció un mensaje de un bot de Telegram llamado Spam Info bot. Luego de validar su legitimidad, observamos que lo que nos quería advertir era que Telegram había recibido varias denuncias a nuestra cuenta.

Esta nos indicó que nuestra cuenta estaba bloqueada por el propio servidor de Telegram por enviar Spam y será restringida a solo enviar mensajes a contactos conocidos. Ninguno nuevo, hasta el 3 de marzo. Por lo que no podemos estar 100% seguros que la cuenta no siga intervenida, aun cuando ya no pareciera tener mensajes sospechosos.

Quedamos coordinando para revisión cada par de horas de las sesiones activas para ver si hay novedades.