Sample-2 (TeslaCrypt Ransomware)

显示全部楼层 · 发表于 2015-11-15 17:56:15

本帖最后由毛豆新人于 2015-11-15 18:19 编辑

CIS 扫描 miss all，双击测试本机文件正常
双击第一个，主防无反应。允许其联网行为，样本在Users\Administrator\AppData\Roaming\下创建的文件名随机（第一次为nscfm-a.exe，第二次为xjqlm-a.exe，以及楼上上测试的nctyl-a.exe），两次测试，调用vssadmin.exe的动作都被阻止（原因未知，日志没有，自己未能排除）
简略日志：
C:\Users\Administrator\Desktop\TeslaCrypt_pwm\doc.exe 虚拟化运行
C:\VTRoot\HarddiskVolume1\Users\Administrator\AppData\Roaming\nscfm-a.exe 虚拟化运行
C:\Windows\SysWOW64\cmd.exe 虚拟化运行
C:\VTRoot\HarddiskVolume1\Users\Administrator\AppData\Roaming\nscfm-a.exe 虚拟化运行
C:\Windows\System32\bcdedit.exe 虚拟化运行
C:\VTRoot\HarddiskVolume1\Users\Administrator\AppData\Roaming\nscfm-a.exe 持续访问世界之窗内存及直接键盘访问

第二个扫描不杀，但双击后被云检测阻止并隔离，报

.UnclassifiedMalware@1

C:\Users\Administrator\Desktop\TeslaCrypt_pwm\doc_.exe 在线扫描发现恶意程序
C:\Users\Administrator\Desktop\TeslaCrypt_pwm\doc_.exe 阻止
加入排除名单双击，同样未能调用vssadmin.exe（不明）
C:\Users\Administrator\Desktop\TeslaCrypt_pwm\doc_.exe 虚拟化运行
C:\VTRoot\HarddiskVolume1\Users\Administrator\AppData\Roaming\dyywe-a.exe 虚拟化运行
C:\Windows\SysWOW64\cmd.exe 虚拟化运行
C:\Windows\System32\bcdedit.exe 虚拟化运行
接下来动作与第一个类似，不停访问世界之窗内存

显示全部楼层 · 发表于 2015-11-15 22:06:39

本帖最后由 sanhu35 于 2015-11-15 22:16 编辑

2015-11-15 22:05:21 创建新进程允许
进程: c:\documents and settings\administrator\桌面\doc.exe
目标: c:\documents and settings\administrator\桌面\doc.exe
命令行: "C:\Documents and Settings\Administrator\桌面\doc.exe"
规则: [应用程序]*

2015-11-15 22:05:35 创建文件 (13) 阻止
进程: c:\documents and settings\administrator\桌面\doc.exe
目标: C:\Documents and Settings\Administrator\Application Data\raflv-a.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

动作几乎一样

2015-11-15 22:06:15 创建文件 (15) 阻止
进程: c:\documents and settings\administrator\桌面\doc_.exe
目标: C:\Documents and Settings\Administrator\Application Data\dpjqi-a.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

详细点，允许释放的话

子体会感染或者是加密各种类型的文件。
这种病毒没有主防的就别实机测试了，破坏性比注入型的病毒强多了。
预防的办法：
杀软不报毒的前提下，在使用陌生程序前，首次最好在沙盘或者HIPS全局保护下跑跑。
没有确认没有特别危险动作后，再加入信任或者对应的权限。

2015-11-15 22:07:26 修改注册表值阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLinkedConnections
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2015-11-15 22:07:53 创建文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: D:\My Documents\recover_file_qshbmwjgj.txt
规则: [文件组]隐藏磁盘 -> [文件]d:\*

2015-11-15 22:08:10 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\Application Data\360se6\Application\6.2.1.232\adblock.zip
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:10 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\Application Data\360se6\Application\6.2.1.232\newpages.zip
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:10 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\Application Data\360se6\Application\6.2.1.232\options.zip
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:10 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\Application Data\KuGou8\AddIns\20120510111355869.png
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:10 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\Application Data\KuGou8\AddIns\20130702172629415429.png
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:10 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\Application Data\KuGou8\SkinPic\default\166b36c6c06e895f3dfc9e471c36050b\back.png
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:12 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\Templates\winword2.doc
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:12 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\All Users\Documents\My Pictures\示例图片\Water lilies.jpg
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:12 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Default User\Templates\excel.xls
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:13 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Default User\Templates\powerpnt.ppt
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:13 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Default User\Templates\wordpfct.wpd
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:13 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\WGHO\GRUB\info.txt
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:13 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\WGHO\GRUB\ysazxx.txt
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:13 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\WGHO\hd1w.txt
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:13 修改文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\WGHO\_warning!!!.txt
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-15 22:08:13 创建文件阻止
进程: c:\documents and settings\administrator\application data\lbmhx-a.exe
目标: C:\Documents and Settings\Administrator\桌面\HOWTO_RESTORE_FILES.HTML
规则: [文件组]只读磁盘 -> [文件]c:\*

显示全部楼层 · 发表于 2015-11-15 22:34:17

本帖最后由 sunnyjianna 于 2015-11-15 22:36 编辑

时间;扫描程序;对象类型;对象;威胁;操作;用户;信息
2015/11/15 22:33:55;文件系统实时防护;文件;C:\Users\asus\Downloads\TeslaCrypt_pwm\doc.exe;Win32/Filecoder.EM 特洛伊木马;通过删除清除 - 已隔离;NT AUTHORITY\SYSTEM;尝试通过应用程序访问文件时发生事件: C:\Windows\System32\SearchProtocolHost.exe.
时间;扫描程序;对象类型;对象;威胁;操作;用户;信息
两个都杀

显示全部楼层 · 发表于 2015-11-16 12:16:05

费尔监控杀了一个，已经入库。启发杀了第二个

显示全部楼层 · 发表于 2015-11-16 13:17:29

类型：
感染型病毒(Win32/Trojan.Ransom.5ef)

描述：
木马通常利用系统的漏洞，绕过系统防御，达到：盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验，此文件是木马，建议您立即处理。

扫描引擎：
360云查杀引擎

文件指纹(MD5)：
9a8e775844abad25912fb6be733a74d9

类型：
HEUR/QVM20.1.Malware.Gen

描述：
木马通常利用系统的漏洞，绕过系统防御，达到：盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验，此文件是木马，建议您立即处理。

扫描引擎：
360云查杀引擎

文件指纹(MD5)：
d7575e4455e4d805fd29effb43591454

显示全部楼层 · 发表于 2015-11-16 13:21:19

微点拦截一个

显示全部楼层 · 发表于 2015-11-16 14:05:28

2015/11/16 13:50:03 创建新进程允许
进程: c:\users\ljx\desktop\teslacrypt_pwm\doc_.exe
目标: c:\users\ljx\appdata\roaming\cdops-a.exe
命令行: C:\Users\ljx\AppData\Roaming\cdops-a.exe
规则: [应用程序]*\doc_.exe

2015/11/16 13:50:20 创建新进程阻止
进程: c:\users\ljx\appdata\roaming\cdops-a.exe
目标: c:\windows\system32\bcdedit.exe
命令行: bcdedit.exe /set {current} bootems off
规则: [应用程序组]全局-命令行滤网《首道滤网》 ————！！！ -> [子应用程序]*.*

2015/11/16 13:51:16 删除注册表值阻止
进程: c:\users\ljx\desktop\teslacrypt_pwm\doc_.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序]*\doc_.exe -> [注册表组]↑[4]<全局>全局规则

2015/11/16 13:51:20 删除注册表值阻止
进程: c:\users\ljx\desktop\teslacrypt_pwm\doc_.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
规则: [应用程序]*\doc_.exe -> [注册表组]↑[4]<全局>全局规则

2015/11/16 13:51:24 修改注册表值阻止
进程: c:\users\ljx\desktop\teslacrypt_pwm\doc_.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000000(0)
规则: [应用程序]*\doc_.exe -> [注册表组]↑[4]<全局>全局规则

2015/11/16 13:51:29 修改注册表值阻止
进程: c:\users\ljx\desktop\teslacrypt_pwm\doc_.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [应用程序]*\doc_.exe -> [注册表组]↑[4]<全局>全局规则

2015/11/16 13:51:35 删除注册表值阻止并结束进程
进程: c:\users\ljx\desktop\teslacrypt_pwm\doc_.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序]*\doc_.exe -> [注册表组]↑[4]<全局>全局规则

[病毒样本] Sample-2 (TeslaCrypt Ransomware)

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块