Linkedin Github

Sala TryHackMe: Retracted: Investigación de un ataque de ransomware

Sala TryHackMe: Retracted: Investigación de un ataque de ransomware

Introducción del caso:

Hoy nos enfrentamos a la máquina de tryhackme Retracted, un ordenador Windows que ha sido aparentemente infectado con un ransomware y que tiene al usuario preocupado porque su ordenador «hace cosas raras».

Noe encontramos con un ordenador aparentemente infectado por un ransomware según lo que nos cuenta esta persona:


“Al iniciar sesión en el ordenador, encontraré un archivo en el escritorio dirigido a mí.”
“No tengo idea de por qué está ahí ni qué significa, ¿y tú?”

Lo que hice para resolver el caso:

Buscar el archivo TXT

  1. Arrancamos la máquina virtual proporcionada.
  2. En el escritorio encontramos un archivo llamado SOPHIE.txt.
  3. Dado que el enunciado menciona un mensaje, asumimos que ese archivo es relevante.
  4. Hacemos clic derecho sobre el archivo → Propiedades → pestaña Detalles.
  5. Allí aparece la ruta completa del archivo:

C:\Users\Sophie\Desktop\SOPHIE.txt

¿Qué programa creó el archivo de texto?

  1. Abrimos Visor de eventos (escribimos “event viewer” en la barra de búsqueda).
  2. Navegamos a:
    Application and Service Logs > Microsoft > Windows > Sysmon > Operational
  3. En el panel derecho, clicamos en Filtrar registro actual y escribimos 1 como ID de evento.
  4. Luego usamos la función Buscar y escribimos SOPHIE.txt.
  5. En el evento filtrado, encontramos que el programa utilizado fue: notepad.exe

¿Cuál fue la hora de ejecución del proceso que creó el archivo? (UTC)

Del mismo evento anterior, observamos la marca temporal del proceso

El usuario del ordenador nos indica lo siguiente:


“El ordenador se comportó raro tras ejecutar el instalador. Archivos bloqueados y fondo de pantalla cambiado… ¿era un virus?”

Aquí claramente ya podemos ir viendo que en efecto se trata de un virus, pero vamos a seguir investigando un poco más al respecto.

¿Cuál es el nombre del instalador descargado?

  1. Buscamos dentro del directorio de descargas del usuario Sophie.
  2. En la ruta C:\Users\Sophie\download encontramos un ejecutable sospechoso:

¿Dónde fue descargado el instalador?

Aquí no hace falta buscar mucho, aunque no encontramos nada en la carpeta de descargas, claramente estuvo en Downloads.

¿Qué extensión se añadió a los archivos cifrados?

  1. Observamos archivos renombrados con una nueva extensión en sus nombres.
  2. Identificamos que la extensión añadida es: dmp

¿A qué dirección IP se conectó el malware?

  1. Buscamos el hash SHA256 del archivo en los registros.
  2. Asociamos ese hash con la conexión IP realizada.


“El virus parece haberse ido, todos mis archivos están de vuelta…”

¿Cuál es la IP de origen del acceso por RDP?

  1. Buscamos en los eventos relacionados con RDP.
  2. Identificamos la IP desde la cual se conectó el atacante.

¿Cuándo se ejecutó el archivo descargado por otra persona

  1. En C:\Users\Sophie\download vemos dos archivos: antivirus.exe y decryptor.exe.
  2. Suponemos que el segundo fue usado para restaurar los archivos.
  3. Buscamos en los registros el momento de ejecución del decryptor.exe.

Muestro un pantallazo donde se claramente «Sala completada» con mi usuario de TryHackme, donde puedes ver todas las salas que he ido completando a lo largo del tiempo.

Si quieres seguir indagando más sobre este tipo de casos en mi portfolio puedes encontrar muchos más casos similares.

Entrada anterior
Entrada siguiente
Linkedin Github

Creado con ☕ y ❤️ por mi mismo en una tarde de domingo – © 2025

Jonathan LLuch
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.