Le sugerí que no hiciera acciones adicionales, dado que simplemente estaban intentando hackearla, pero no lo lograrán a menos que consiguieran ese número. Ese intento de conexión murió en ese paso tal como indica el capturado.

Análisis de la IP
Aun cuando tiene más puertos abiertos que apuntan a un servidor Debian, el puerto 3128 corresponde a un administrador web de máquinas virtuales.

nmap muestra que los puertos abiertos corresponden a escritorios remotos virtuales de varios Windows diferentes lo que posiblemente pueda ser un
Command and Control de varios bots locales.

“posible investigación futura a realizar”

En este momento aún no sabía qué es lo que estaba pasando en su computador.

El Notebook
Al rato me pidió ayuda. El antivirus de su computadora estaba teniendo una pelea con un malware que intentaba deshabilitarlo mientras el AV intentaba eliminar el archivo comprometido. El mensaje de malware apuntaba a un crypto.MTB, por lo que lo desconecté de la red para seguir la revisión. Le comenté que podíamos estar frente a un ransomware. Mi familiar me contó lo que estaba haciendo y eliminamos el archivo ejecutable. Ahora tocaba identificar todo lo que se instaló.

Nota Importante: Windows 10 estaba actualizado al día, tanto de parches críticos como de definiciones de antivirus.

El Ransomware
Mientras miraba de forma manual los registros y las carpetas nuevas, gatillé la revisión FULL del antivirus, que estaba actualizado hasta un poco antes de haberlo desconectado. Aparecieron más de 10 archivos de malware diferentes y varios procesos detenidos. También intenté detectar y eliminar procesos de estuviera corriendo y que no reconociera, así como cualquier cosa que haya quedado en el inicio o servicio habilitado.
Luego de un reinicio, veo en el escritorio que algunos iconos habían perdido su formato, por lo que revisé las extensiones y tal como se puede asumir, ya estaban cifrados. La extensión era .fgui y según internet aún no hay decrypters liberados.

Los documentos cifrados en el computador no importaban mucho, dado que existía respaldo en su NAS y en la nube. Ahora deberemos revisar el NAS, dado que estaba mapeado directo como unidad de red al equipo infectado.
De vuelta al notebook, tomé las evidencias del link de descarga y unas muestras del ransomware y formateamos el computador completo. No había nada que necesitara rescatarse.

EL NAS (Network Attacked Storage)
Para nuestro asombro sólo la carpeta raíz y unas cuantas más sin importancia fueron afectadas. El resto no sufrió cifrado. Aparentemente desconectamos la red del notebook a tiempo. Programamos una revisión de antivirus full para el Nas, por si el malware dejó alguna sorpresa allí.

Genshin Impact
Lo único que le preocupaba a mi familiar era que no le hayan intervenido su cuenta de Genshin Impact, que es un juego al que le ha dedicado muchísimo tiempo. Tristemente las noticias no fueron buenas. Al momento de loguearse desde su Tablet, el número de verificación que le solicitó para validar su cuenta estaba siendo enviado, según mostraba la ventana, aun correo ruso (@rambler.ru)

Googleamos hasta dar con el protocolo para reportar una cuenta hackeada en la plataforma de Hoyoverse.com
Mientras lamentábamos la pérdida, para evitar otras cuentas comprometidas, comenzó el proceso de cambio de contraseñas de todos los servicios. El cambio de contraseñas duró hasta la 01:00 hrs.

Análisis del Correo

Telegram parte II

8:50AM del siguiente día una respuesta a un mensaje en Telegram alerta nuevamente. Al revisar los mensajes, desde la cuenta se habían enviado unos 20 mensajes de spam anti-putin a destinatarios desconocidos, pero claramente atingentes al conflicto.
Por curiosidad traduje el texto para entender de qué se trataba.