查看: 42044|回复: 188
收起左侧

[原创] ESET10勒索病毒防御测试

  [复制链接]
windows7爱好者
发表于 2016-10-28 18:44:44 | 显示全部楼层 |阅读模式
本帖最后由 windows7爱好者 于 2016-10-29 16:38 编辑

测试环境: win10 ltsb 14393,打好最新补丁,使用Shadow Defender进行测试,测试全程使用梯子
ESET版本:

测试时所用设置全部为默认,关闭文件监控,开启HIPS的智能模式
注意!本测试只单独测试ESET的反勒索保护功能,不代表ESET的最大防护能力,请不要因此而觉得ESET毫无亮点!




注意!由于malware traffic上的某些样本并不是勒索,所以我只测试被典型标注为勒索软件的程序


第一个样本

毫无反应,真是不给面子啊

第二个样本

被高级内存扫描击杀

经过和驭龙以及fireherman的讨论,我决定关闭高级内存扫描,单独测试ESET的反勒索功能
在添加了文件系统防护的排除以后,AMS终于不杀了,重新测试第一个样本



然后我体验到了什么叫做惨败
先来一张说明书,恐怖的是,creber居然会播放声音来提醒用户文件被加密,一个年轻女性的声音,吓我一跳

再来一张桌面背景
由于彩色图片太大,所以只能截这么多了,红线标出的是上图的勒索信程序
最后再来看看战果,creber的勒索后缀貌似是随机的,后缀为b931,一共加密了5373个项目

今晚看情况, 有时间我会进行第二个测试,没有的话就得等到明天了
容我先缓缓




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 18经验 +100 分享 +2 魅力 +1 人气 +21 收起 理由
屁颠屁颠 + 100 + 1 16年年度奖励
ericdj + 3 感谢提供分享
EnZhSTReLniKoVa + 1 感谢提供分享
qftest + 1 ESET需要更努力
驭龙 + 1 许诺的3人气,已经全部送上,承诺已完成

查看全部评分

windows7爱好者
 楼主| 发表于 2016-10-28 21:49:35 | 显示全部楼层
本帖最后由 windows7爱好者 于 2016-10-29 18:05 编辑

鉴于广大人民的要求....
有请我们的二号选手登场

这次我从13号的包里找了另一个类型,没有用creber

看到疯狂的磁盘读写,我就莫名的慌
首先我要怒骂一句,你TM足足加密了15分钟,中途卡的不能操作...你这样子用户早就发现了好吧
桌面背景镇楼

受害者镇楼,里面有一个,就是我刚截的图片,没有加密

这个勒索比creber更加狠毒,废话,时间更长嘛
加密后缀odin,6545个文件

看,有趣的现象就在这里
ESET保护了 自己的文件免受加密,但这是自保模块的功劳,勒索防护依然在打酱油,没有丝毫的作为

另外通过这个日志,不难发现,这个勒索是通过复制一份原文件,
然后进行加密,再删除原文件的方式进行的,可以根据日志的其他信息得出
最后再补上一发勒索信,还原去了

RSA-2048



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-28 22:23:41 | 显示全部楼层
第三个
取自我以前发的老样本,以快准狠为特点
http://bbs.kafan.cn/thread-2059119-1-1.html
老方法,添加文件系统保护排除,同时关闭保护


干脆利索,我喜欢

同样,ESET很好的保护了自己

我突然想到一个好办法,把自己的文档放到ESET的目录下面,这样就说不定OK啦


这个勒索可以说是雨露均沾,EXE,DLL,JS,HTML,JPG,PNG,
甚至连快捷方式都没放过

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 11:25:21 | 显示全部楼层
从第四个开始,跟进和 Bitdefender的对比测试
样本来源于http://bbs.kafan.cn/forum.php?mo ... page=23#pid38657622
222楼
长期更进
样本介绍我就不照抄了,毕竟看疗效重要




JackPot看着旁边被加密的的文件:什么,我是无辜的
勒索信是一个全屏提示,低调黑,我喜欢

加密后缀为coin
有趣的是,这个勒索只会动C盘的文件,并且对深层次目录不感兴趣,因此ESET没有受到骚扰[:01:]
1416个文件,挺温柔



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 13:15:23 | 显示全部楼层
第五个,跟进中
这个测试完后,我会添加官方反勒索规则重新测试这5个样本,用来对比自带的反勒索功能

双击2秒直接弹出勒索信,还带动感闪光,我喜欢

此勒索着重于对系统的破坏。双击后,系统一部分变成英文
系统文件被加密

小E继续酱油,自己没有大碍

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 16:08:32 | 显示全部楼层
走过路过不要错过,官方反勒索规则来啦!
这是HIPS部分

这是FW部分

绝对原生,绝无修改!(其实我也不会修改

再次有请我们5位擂主

防火墙使用默认的自动模式,HIPS也仍为默认的智能模式,关闭高级内存扫描
稍后回来,测试马上开始

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 16:21:40 | 显示全部楼层
第一个:GOGOGO
CREBER会调用CMD删除卷影备份,防火墙规则里有关于CMD的,不过和这个调用CMD删除备份关系不大,是禁止CMD联网的,不知结果如何呢

看到莫名高的读写,我又开始方了

果然 我们的ESET这次!
又战败了...


补充说明:样本加密完成后会自删除,然后产生勒索信程序(红线部分)
然后用甜美的女声告诉你:快给我比特币

HIPS日志空空如也

防火墙日志空空如也

被加密文件数我就不上了,参考上次测试

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 16:43:31 | 显示全部楼层
第二个
出现了一些小问题,本来的第二个样本在我这里莫名抽风,
关掉防护,加了排除,依然被AMS杀掉,所以这里将第二个换为原测试中第三个样本进行测试


HIPS和防火墙的依然在打酱油,本轮测试继续失败

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 16:51:53 | 显示全部楼层
第三个样本(使用原测试第4个)





不需要解释什么了,三连败

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 17:01:56 | 显示全部楼层
第四个(使用原帖第5个进行测试)
这个勒索是毛子的
勒索信在此
以破坏系统为主要目标,对个人文档不出手,所以加密是瞬间完成,无法截取任务管理器里的进程
然后会强制占用屏幕前端,弹出这个

HIPS  and   FW



由于第二个样本临时抽风,这4个的测试已经说明了一些问题,所以第五个测试我将不再测试原测试样本
我要测试JS下载器,让你们看看官方规则的用武之处
不能太不给官方面子对吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 17:21:31 | 显示全部楼层
全新测试!
这些全部都是下载者,我给简单的编了1-6号

双击第一个


但是欣喜之余,发现起作用的仍然不是官方规则,而是僵尸网络防护的内部网址拉黑

我想了一下,先把hta 的类型双击完吧
果然发现全是僵尸网络防护在起作用,这些地址都被拉黑了
第二个



第三个


这个测试说明ESET对于下载者还是有很不错的防护能力,靠内部的网址拉黑,能起到不错的效果

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
 楼主| 发表于 2016-10-29 17:28:45 | 显示全部楼层
本帖最后由 windows7爱好者 于 2016-10-29 17:29 编辑

这次到真正的JS的下载者

我们的官方规则,终于起作用了

三个都为这个提示,属于HIPS规则部分,禁止EXPLORER启动脚本宿主程序
事实上还禁止了一大堆,但是这是有弊处的,我想你们应该知道


本次测试圆满结束,以后我会不定期更新和BD的样本对比测试
直到....直到ESET的反勒索和BD一样优秀为止
附上官方规则地址
hips http://support.eset.com/kb6119/
fw http://support.eset.com/kb6132/
先去喝口茶

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
sunnyjianna + 1 根据版规,加1分以示鼓励

查看全部评分

驭龙
发表于 2016-10-28 18:57:17 | 显示全部楼层
我刚好回来看一眼,先支持了,明天送上人气,我先下了
fireherman
发表于 2016-10-28 19:03:45 | 显示全部楼层
小7的ESET测试怎能不支持?
Johnkay.Young
发表于 2016-10-28 19:05:29 | 显示全部楼层
支持测试,看看ESET主动防御能力。
windows7爱好者
 楼主| 发表于 2016-10-28 19:07:37 | 显示全部楼层
fireherman 发表于 2016-10-28 19:03
小7的ESET测试怎能不支持?

问下,AMS需不需要关闭
是不是入库了的AMS都会杀掉,这样就无法测试了
屁颠屁颠
发表于 2016-10-28 19:08:13 | 显示全部楼层
快更
星云劫
发表于 2016-10-28 19:11:07 | 显示全部楼层
等更新中。等会儿回来看。辛苦了。
lipi000
发表于 2016-10-28 19:12:15 | 显示全部楼层
板凳子围观
fireherman
发表于 2016-10-28 19:16:14 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-28 19:22 编辑
windows7爱好者 发表于 2016-10-28 19:07
问下,AMS需不需要关闭
是不是入库了的AMS都会杀掉,这样就无法测试了




怎么说呢,我个人觉得:AMS是一个很特殊的主防,他以HIPS为基础,结合自身的杀毒引擎(病毒库,特征库)来进行防护。

如果单纯为了测试10的防勒索……其实我都不知道应不应该关。

不关的话,入库了就一定杀你。

关闭的话,相当于纯(官方内部)HIPS防御。

而就【默认】而言,AMS是开的,但又和病毒库息息相关……

我母鸡啊……问@驭龙  和 @qftest  

聆听落雨
发表于 2016-10-28 19:31:39 | 显示全部楼层
不错,支持一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 16:29 , Processed in 0.134322 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表