老将换新颜！TeslaCrypt 4.2开始铺货！今年已出现至少35种勒索软件了

fyxqjy

诺顿miss

电脑发烧友

操作进程：C:\Users\wuliao\Desktop\TeslaCrypt 4.2\TeslaCrypt 4.2.exe
触犯规则：文件组 ➢可执行文件
操作类型：创建
操作文件：C:\Users\wuliao\Documents\wlrmdr.exe
用户操作：已忽略

操作进程：C:\Users\wuliao\Desktop\TeslaCrypt 4.2\TeslaCrypt 4.2.exe
触犯规则：文件组➢脚本批处理即将被执行\调用命令行
操作类型：执行
C:\Windows\system32\cmd.exe
用户操作：已忽略

操作进程：C:\Users\wuliao\Documents\wlrmdr.exe
风险动作：修改关键系统进程
目标进程：C:\Windows\System32\svchost.exe
用户操作：已阻止

操作进程：C:\Users\wuliao\Desktop\TeslaCrypt 4.2\TeslaCrypt 4.2.exe
触犯规则：文件组➢脚本批处理即将被执行\调用命令行
操作类型：执行
C:\Windows\System32\cmd.exe
用户操作：已忽略

操作进程：C:\Users\wuliao\Documents\wlrmdr.exe
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\servwxuce
用户操作：已忽略

操作进程：C:\Users\wuliao\Documents\wlrmdr.exe
触犯规则：注册表组➢组策略
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
用户操作：已忽略

操作进程：C:\Users\wuliao\Documents\wlrmdr.exe
触犯规则：注册表组➢组策略
操作类型：写入
操作注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLinkedConnections
用户操作：已忽略

操作进程：C:\Users\wuliao\Documents\wlrmdr.exe
触犯规则：文件组➢勒索程序防御
操作类型：写入
操作文件：C:\Boot\cs-CZ\!RecoveR!-wxuce++.PNG
用户操作：已忽略

操作进程：C:\Users\wuliao\Documents\wlrmdr.exe
触犯规则：文件组➢系统引导程序
操作类型：写入
操作文件：C:\BOOTSECT.BAK
用户操作：已阻止

T.Yoshiyuki

fyxqjy 发表于 2016-4-29 21:51
诺顿miss

诺顿已入库



铁壳官方已监测到最新变种

qq2575044704

什么是TeslaCrypt 4.2？

aboringman

没艾特我，真不仗义

AVG：

扫描：killed；

"";"Trojan horse FileCryptor.KPZ, C:\Users\killer\Desktop\TeslaCrypt 4.2.exe";"Unresolved"

双击：关闭监控，实机双击，IDP击杀之。

"";"IDP.Trojan.5F2929BC, C:\Users\killer\Documents\wlrmdr.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/4/30, 9:11:22"

"";", C:\USERS\KILLER\DESKTOP\TESLACRYPT 4.2.EXE";"Object was blocked";"Process";"2016/4/30, 9:11:22"

"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/4/30, 9:11:22"

"";", C:\USERS\KILLER\DESKTOP\TESLACRYPT 4.2.EXE";"Deleted";"File or Directory";"2016/4/30, 9:11:22"

"";", C:\Users\killer\Documents\wlrmdr.exe";"Object was blocked";"Process";"2016/4/30, 9:11:22"

livethings

kis双击占位

230f4

aboringman 发表于 2016-4-30 09:13
没艾特我，真不仗义

AVG：

下次会的。

视频一个送上http://www.iqiyi.com/v_19rrla76pc.html

230f4

qq2575044704 发表于 2016-4-30 08:26
什么是TeslaCrypt 4.2？

勒索软件定义，来自Microsoft：http://www.microsoft.com/zh-cn/s ... somware-whatis.aspx

什么是勒索软件？

   勒索软件是一种恶意软件 （怀恶意的软件），犯罪分子未经您的同意安装在您的计算机中。 勒索软件让犯罪分子能够远程锁定您的计算机。 然后会显示一个弹出窗口，警告说您的计算机已被锁定，并声称如果您不付款，您将不能使用计算机。

犯罪分子如何安装勒索软件？

   在您打开电子邮件消息中的恶意附件或单击电子邮件消息、即时消息、社交网站或其它网站中的恶意链接时，通常会在您的计算机中安装勒索软件。 勒索软件甚至可在您访问恶意网站时安装。

MMPC勒索软件页：https://www.microsoft.com/securi ... red/ransomware.aspx

什么是TeslaCrypt：https://en.wikipedia.org/wiki/TeslaCrypt   http://wubingdu.cn/teslacrypt-4-0/

https://www.microsoft.com/securi ... me=Win32%2fTescrypt

nick20010117

FSP断网双击成功触发DG行为拦截@230f4

HEMM

电脑发烧友 发表于 2016-4-29 23:26
操作进程：C:%users\wuliao\Desktop\TeslaCrypt 4.2\TeslaCrypt 4.2.exe
触犯规则：文件组 ➢可执行 ...

咦？这是什么软件的日志啊？