TeslaCrypt-after

显示全部楼层 · 发表于 2016-2-22 21:19:27

infected

显示全部楼层 · 发表于 2016-2-22 21:22:32

4个解压，bullguard全秒
貌似现在bg这里可以正常更新了

显示全部楼层 · 发表于 2016-2-22 21:23:40

显示全部楼层 · 发表于 2016-2-22 21:24:40

本帖最后由 windows7爱好者于 2016-2-22 21:27 编辑

第一个，允许联网后自己炸了

第二个，第三个，都双击没反应，暂无异常
第四个自己报错，和第一个一样

显示全部楼层 · 发表于 2016-2-22 21:28:53

显示全部楼层 · 发表于 2016-2-22 21:30:04

显示全部楼层 · 发表于 2016-2-22 21:31:10

Avira KILL ALL

显示全部楼层 · 发表于 2016-2-22 21:36:49

本帖最后由电脑发烧友于 2016-2-22 22:02 编辑

测试环境VM12 WINXP

篇幅较长，总结行为。1.前两个进程记录键盘，疑似盗号。
2.第二个进程会调试提权并操作windows下的oauxujcnveua.exe文件，并隐藏。
3.由oauxujcnveua.exe完成加密动作，被加密的文件为 XXXX.原后缀.mp3
4.从viruscope记录的行为中可以大致了解加密的动作。查找——编辑——重命名——创建。

访问键盘创建子进程，父进程退出。

子进程访问键盘。

子进程尝试提权被阻止。

操作windows目录下的文件。

隐藏被操作的文件。

修改被隐藏的文件。

再次创建新的子进程，父进程退出。

同上。

修改注册表。

调用命令行。

联网。

修改工作文档。

疑似加密动作。

之后我点了阻止并恢复，被修改文件的后缀复原，但是依旧被加密。

显示全部楼层 · 发表于 2016-2-22 21:54:25

显示全部楼层 · 发表于 2016-2-22 22:13:09

windows7爱好者发表于 2016-2-22 21:24
第一个，允许联网后自己炸了

第二个，第三个，都双击没反应，暂无异常

这是勒索软件，看看文档压缩包还正常么。

[病毒样本] TeslaCrypt-after

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块