Sample-2 (TeslaCrypt Ransomware)

Flying_Bird

Thank nullptr for sharing this sample.

Type: Ransomware/TeslaCrypt

VirusTotal Result: 19/53

Password: malware

Original + Decrypted.

MXCERILYF!

PC Manager

nick20010117

AVG一共2x

hooyuan

haoge250

kis kill

驭龙

WD全杀，无压力

Miostartos

dieeeeeeeeeeeeeeeeeeeeeeeeeeee！

文件名: doc_.exe
威胁名称: WS.Reputation.1完整路径: d:\test\doc_.exe

____________________________

____________________________


在电脑上的创建时间 
2015/11/15 星期日 ( 14:36:09 )

上次使用时间 
2015/11/15 星期日 ( 14:38:09 )

启动项目 
否

已启动 
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


doc_.exe 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


来源: 外部介质

源文件:
doc_.exe

____________________________

文件操作

文件: d:\test\ doc_.exe 已删除
____________________________


文件指纹 - SHA:
cdc0fd18f45bc70435b8d7dad47dd576bddcb1cabe82848d88a8eeb31d2014af
文件指纹 - MD5:
不可用


文件名: doc.exe
威胁名称: Trojan.Cryptolocker.N完整路径: d:\test\doc.exe

____________________________

____________________________


在电脑上的创建时间 
2015/11/15 星期日 ( 14:36:04 )

上次使用时间 
2015/11/15 星期日 ( 14:38:05 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


doc.exe 威胁名称: Trojan.Cryptolocker.N
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
doc.exe

____________________________

文件操作

文件: d:\test\ doc.exe 已删除
____________________________


文件指纹 - SHA:
49cef42082f9fcddef5df6c717a0eca99a9e20063435cb8cd97875e345e84293
文件指纹 - MD5:
不可用

电脑发烧友

火绒第一个启发掉，主防不杀，部分行为截取

行为概述：在C:\Users\wuliao\AppData\Roaming\下创建一个名为nctyl-a.exe的程序，之后执行加密操作，并且将勒索页面加入“启动“文件夹。有联网行为。   典型的敲诈勒索类



第二个火绒入库了，主防不杀

行为概述：参考第一个    典型的敲诈勒索类

yuzhi3366853

nick20010117 发表于 2015-11-15 14:26
AVG一共2x

IDP不错

skyboybone

双击，放行所有之后