【原创翻译】AVLab: protection test against ransomware threats 报告

猪头无双

RT。 源起：

http://bbs.kafan.cn/thread-2064415-1-1.html

所以Fan{过}{滤}Qiang用必应找到了原始出处和原文链接，下载建议IDM，迅雷和360急速内置浏览器完全无速度。

原文地址：https://avlab.pl/sites/default/f ... 2016_ransomware.pdf

感谢25L提醒，排名不分先后

++++++++++++++++++++++++++

译前记：

我承认刚开始看到http://bbs.kafan.cn/thread-2064415-1-1.html的测试结果的时候很讶异，因为这和我们长时间以来的防勒索/加密勒索软件的印象完全不符，看后似乎comodo、蜘蛛、趋势、BD等等卡饭公认防勒索很强的软件在这个测试中完全不行了。而意料之外的CCAV、avast free等倒是异军突起，所以我有点小人之心的认为这是某个国内的所谓“实验室”胡乱测试的结果，只不过是转成了英文而已。

但似乎并不是这样，这份报告源自 AV Lab,  https://avlab.pl/ 看后缀来看，似乎是个波兰网站。

大家一定注意，任何测试的结果为何千差万别，主要在于以下几个原因影响：

1. 测试系统配置：也就是说测试的机器是什么样配置的，如果有勒索软件针对性能方面下手，比如说在加密文档的同时拖系统运行，而测试的杀软还是容易咔吧死机的那种··· ···那很坑的结果就是电脑直接卡死，没有结果或者人为判负了。

2. 测试样本来源：如果这些样本是未曾入库的勒索软件，那是能看出杀软的真实水平的，但是真出现这样的样本，私以为即使强悍如HIPS，只要用户一个关键点放过，也会招来灾难性的后果。如果是已经入库了，那就要看锁库或者其它手段下的防御结果了。

3. 杀软选择：免费和收费的差距还是有的，这点大家应该承认，像360那样的··· ···例外吧！大多数免费版杀软是没有或者弱化了主防的，比如KFA, BD FREE，Panda Free, avast free等等，所以免费版效果一般来说不如收费版是可以理解的。

4. 杀软设置：我们会多次在AV-C的测试中看到红伞、avg等杀软的收费版成绩貌似还不如avast free，而其它两A的免费版更是被avast free版吊打，其实这是由于杀软在比赛之初设置的不同导致的结果。

5. 是否调用云/联网：这个更不用多解释，连云和不连云，效果更是不一样，比如360的主防，在连云的情况下狂如魔，断网之后圣如佛。（咦？ 这个感觉怎么这么像我撸之前和撸之后的感觉？）

总之，客观看待成绩，不要被测试报告所左右，自己内心要有自己的判断。

以上是翻译之前要说的话，下面开始占楼，闲人闪开了。

PS， 本文中（）部分为译者酌情根据中文习惯添加、补充的部分，保证句意的清楚连贯，不影响汉语阅读习惯的读者，并酌情对某些英语中的多余啰嗦的句子按照汉语习惯进行意译；【】中的字句为我酌情吐槽的私人看法部分，各位可以无视。毕竟我们这个网站无法提供批注，只能这样了。

转载请注明来源：卡饭论坛 猪头无双。谢谢各位

+++++++++++++++++++++++++++++++++++++++++++++

一、概要：

测试时间：2016年10月

本测试之目的，在于测试杀软的实时防护对于家庭用户及中小企业用户在应对勒索/加密勒索软件方面的效果。本文档列出之结果，为杀软在面对上述威胁时的真实反映。这些杀软为对抗此类威胁，采用了所有可用的防护组件，及相关联的动态启发和行为分析技术。这些给予了用户综合的实时防护效果。其中，本测试包含一项针对未知勒索软件的测试。

尽管有些杀软为用户提供了一个独立的文件夹来保存机密文件，并实时监控、对抗（恶意软件对该文件夹的）修改，但是我们的测试目的是，核实这些手段在面对新型未知的勒索软件时（是否依然好用）。

【我觉得趋势被打脸了 】

此类恶意软件会造成巨大的破坏，尤其是经常造成经济损失，影响某个公司的正常商业活动，或造成该商业活动停摆。

二、勒索软件&加密勒索软件

勒索软件是以阻止或约束用户访问某个操作系统为目的的一类恶意软件。【该组织对勒索软件的定义，读者自行参考】

当今时代，勒索软件有一个新的名字——加密勒索。这类病毒对某些特定文件类型进行加密，之后发送消息（向事主）索要一笔钱财，以作为解密文件的费用。

在诸多加密勒索软件中，我们可以发现一类新型加密勒索软件：硬盘加密。【貌似没在样本区见到过样本，知道的朋友有介绍就更好了】这类恶意程序/脚本会通过加密MBR，并用（恶意程序）自身重写MBR，加密系统，使系统重启。这将对用户电脑产生破坏性的影响。【脚本我倒是见过一次，程序倒是没有】因此，恶意程序会传回一条关于CHEDSK，即硬盘检查的虚假消息。同时，加密软件会对主文件表，即MFT进行加密，而MFT包含了在某个分区上所有文件的条目。【entries，复数，原型entry，看看谁有更好的翻译结果。】因此，操作系统不能知道文件被储存在何处，就不能正常启动系统。

用户的电脑可能被各种形式（的病毒）感染。而加密勒索软件通常伴随着邮件一同扩散。他们通常隐身在关于发漂、Zhai务执行信息或邮件未能及时发送的信息中。【这类邮件估计都是带附件的，所以对邮件附件，包括QQ群、微信群的分享压缩包，文件等，下载之后都要再次扫描一遍，以免中招】

在最近的几个月中，FortiGuards 实验室【莫非是飞塔？】的砖家们发现在波兰有一类最流行的勒索软件——Locky,是通过Nemucod Trojan下载而来的。【这木马名字没找到如何翻译，各位给支个招？】另一方面，FS实验室的杀软分析师们发现另外一类恶意软件活动迹象，他们通过利用FLASH的缺陷或者是像 Magnitude Exploit Kit这样的工具来安装 Cerberus 加密勒索软件。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

原文截图

猪头无双

三、参测软件：

【直接贴图，上半部分是个人用户的普通版，下半部分是企业版】




四、测试方法：

为保证本次测试的公平性，我们对所有参加测试的个人/中小企业杀毒软件安装在同样的测试条件下，并全体采用默认设置。同时设置两个独立软件作为参照： Foltyn SecurityShield 和 Voodoo Shield Pro。【一圈杀软的陪练是俩HIPS 】这俩货的操作方式与传统杀软有不同。同样为保持公平，各个程序的检查都是在同样的条件下进行的，而且收集的样本也是同样的。

【记得默认设置下，BD的ATC是中级，不是最高啊！启发强度好像也不是最高，红伞之流的启发类杀软就更别说了，启发强度默认情况下都不高，所以还是那句话，理性看待测试结果，不要拿你平时的设置习惯去指责测试的结果，毕竟条件不同。 】

我们选取了28个加密勒索的样本进行测试，其中包括：【我就不翻译名字了，反正各位见过的自然熟悉，没见过的杀软报毒也是这些名字】

Cerber, CryptXXX, DetoxCrypto, Hitler Ransomware, HolyCrypt, Locky, Numecod, Petya, Jigsaw, Vipasana, Stampado及其它。

这28个样本来自于独立研究者的合作搜集。并且本实验室未曾与任何杀软的开发者/公司有过联系，因此结果就是各个杀软的真实表现，不含水分。【就是一个自证清白的话，免得有作弊嫌疑。】

（我们认为）唯一公平的测试方法就是在同样的电脑配置下各个杀软在同样的基准——默认设置条件下运行同样的样本（并检查结果），市面上有的杀软产品会提供独特的机制来保卫文件/文件夹，对抗加密软件。【比如趋势】，但是不是所有的杀软产品都会把以上手段设置为默认开启。所以，这种技术（如果默认开启）会影响某个产品的整体成绩，并降低在基准测试中的得分。

为保证所有参加测试的产品能够有效运行，我们在测试的前一天晚上准备了一份win10专业版 X64位镜像，并更新到最新。因此，所有参加测试的杀软全部是在相同的系统环境下进行测试，并全程联网。

【好了，前边的都是多余废话，说白了，这些杀软的测试条件如下：

1. 系统环境： win 10 专业版X64,并更新到最新（到测试前一天截至）
2. 杀软：全体默认设置
3. 全程联网】

五、测试方法补充【原文 Operation algorithm,根据内容做修改翻译】

1. 我们将单独为参加测试的每个软件都重新加载一次系统镜像，这样可以完全保证每个参加测试的软件所工作的系统环境都是相同的。

2.如有必要，某些恶意软件需要右键获取管理员权限运行

3. 我们将收集一些文件放在测试用的笔记本上，让杀软对这些指定文件进行防止勒索/加密的测试

六、为何加密软件会对用户造成损害？

BD发布了一份基于2015年11月份的调查结果所写出的报告【谁有链接？ 】，对3009名来自美、徳、英、丹麦及罗马尼亚的网络用户就勒索软件问题进行了调查，其中也提到了对被加密文档需要支付赎金以解密。

在受调查的3009名用户中：

① 有50%的受访者表示对勒索软件一无所知

②有近半受访者表示愿意为勒索软件支付的赎金上限是500美元

③对受访者来说，私人文档对他们而言是最重要的信息。【嗯，我想陈冠希老师深有感触】

④来自英国和罗马尼亚的受访者表示愿意为恢复文件支付更多的费用。【我记得这俩国家对约那啥的态度也比较宽松 估计这俩国家的受访者的电脑里··· ··· 你们懂的】

⑤2015年最受加密勒索软件毒害的是美国受访者。
++++++++++++++++++++++++++++++++++++++++++++++++

猪头无双

七、测试软件及版本



个人及中小企业版杀软




企业版杀软版本


八、为何网络犯罪偏爱公司和公共事业单位？

（在一般人的印象中）公司=有钱。

有些犯罪活动已经被人发现，但是有一部分公司选择了息事宁人。

被加密的数据很容易就可以注销。

公司的电脑往往缺乏足够的保护。

安全链条上最薄弱的环节恰恰是人（员工）。【领导们没事干的时候也是手贱，不只是员工。】

员工可能是被社工的最好对象。

有些勒索软件不仅仅加密一台电脑端点，还可能加密云端数据或者局域网数据。

大多数公司为了躲避法律制裁或为了保证公司名誉不受损失，干脆瞒报。

小公司对高级攻击手段准备不充分。【就像有的人说的，我电脑里这点东西都不值得黑客黑一把的。个人这么想还情有可原，但是公司··· ···】

政府机关和事业单位存有大量数据，其中有很多很值钱的信息。【电信诈骗就是个绝好例子】

公共机构的防护等级要比私营部门低得多。

公共机构的雇员（在网络安全方面）缺乏应有的培训。

公共机构通常使用过时的软件。【我2007年上大学的时候，大学图书馆的电脑里还装着KV3000呢】

公共机构的安全防护方面的预算长期不足。

+++++++++++++++++++++++++++++++++++++++++++++++++++

原文截图

猪头无双

九、扫描结果

【上图了，但是有些注释我还是会写在下面的】

1. 个人版软件测试结果





0/0: 文件被加密，防护完全不起作用

0/1: 文件运行，但被主防明确拦截

1: 文件运行并被按需扫描/实时防护拦截

* Voodoo Shield Pro 以两种模式运行: 自动模式 及依据白名单的自动模式，两种模式的测试结果完全相同

* Comodo Internet Security Pro 10 BETA 未能遵循自动沙箱的规则设定,而自动沙箱是防护未知恶意软件的核心手段。测试期间，稳定版【8.x版本】也是出现了同样的问题，所以，不要把CIS10beta版的结果当作是CIS10 PRO版的防护效果

【说白了就是鼓励掏钱买CIS的用户，不要担心，这只是免费版的结果，收费版的不受影响】

2.企业版测试结果



0/0: 文件被加密，防护完全不起作用

0/1: 文件运行，但被主防明确拦截

1: 文件运行并被按需扫描/实时防护拦截


十、ARCABIT INTERNET SECURITY 的安全存储技术【估计和趋势是同一个思路】

我们已经多次测试过Arcabit 软件了，像其它防护软件一样，它提供文件监控，邮件监控及浏览器监控。但是不同于其它友商的产品的是，它的安全存储技术引起了我们的注意。

安全存储的一个重要目的就是保护文件免受灾难，而从用户的角度看来，最灾难的（莫过于）加密勒索软件了。

在加密文件想对某文件发动攻击之前，安全存储功能将先把源文件备份起来，允许一般用户和管理员用户将已经加密的感染文件在一分钟之内替换为源文件。（安全存储技术也重视分享的网络数据）

【换句话说，这个安全备份的思路是先备份原文件，之后等文件被感染后迅速用源文件替换被感染文件，保证了文件的安全。个人以为，这样也间接说明了现有勒索软件的缺点——只对文件加密一次，之后就不管了。如果是某个加密软件在一分钟之内对同一个位置的文件进行3-4次不同算法的累加加密··· ··· 】

【而目前看来，趋势是画出一个安全区，把源文件存在安全区里，然后阻止任何针对这个安全区的加密操作。这两种防护思路孰优孰劣，那就见仁见智了。】

这些备份的源文件将运用Arcabit 软件内部的加密算法进行加密，之后以被打包的形式或直接以加密后的形式受到Arcabit 软件的保护，这样外部程序很难接近它们。

同时，Arcabit 软件的安全存储在软件解决了勒索样本后，运用自己的清理技术清理或删除那些被加密的文件，再把源文件的备份（按照原来的位置）还原回去。这项技术将有效的利用磁盘空间（清理、删除、还原的过程将在系统空闲时进行，这将很大程度上减少对系统的影响）。

在安装期间，Arcabit 软件将提示用户那一部分的数据需要安全存储的保护（前提是当电脑上有多个硬盘或多个分区时）。这样用户将控制资源消耗。比如当用户有一个存储容量小的SDD和一个存储量大的HDD时，Arcabit 软件会建议用户将HDD作为安全存储数据使用。

安全存储与系统文件同时运行，实时备份文档、照片等重要文件，尤其当系统处于危险环境中时。同时，这些备份文件会实时放进Arcabit 软件的内部进行加密。并且，最关键的是，这项技术在驱动器内部是以内核形式运行的，这将使杀软本身免受勒索软件或其它软件对用户文件的毒害。

由于Arcabit 软件能在勒索软件攻击电脑（并没有在外部存储器上残余备份文件）后，能迅速恢复您的文件，所以我们诚挚推荐您使用ARCABIT INTERNET SECURITY。

【这广告，这B装的，我给9.5分，另外的0.5分免得你们骄傲。】

++++++++++++++++++++++++++++++++++++++++++++++++++

原文截图

猪头无双

十一、结果解释

正如我们之前所说，本测试的目的是为了证明以实时防护对抗加密勒索软件哪家强！为了保证公平性，所有的软件都是默认模式运行。尽管有的软件提供了对抗加密勒索的技术，但是有些杀软设计者在默认模式中没有让这些技术运行。

同时，很长时间我们都在考虑是否添加其它另一种的评价标准：在加密软件攻击后恢复文件。但是经过谨慎考虑后，我们去掉了这个想法，因为这个条件对某些参加测试的软件来说，并不公平。典型的例子：Arcabit Internet Security 将会因为添加了这条标准而在测试中取得极大的优势，并且无法反映其它杀软默认设置的效果。有了安全存储技术，用户不必再额外附加其他条件就能获得全面的防护。

我们并不考虑解密专用工具（的效果），因为它们的效果很大程度上有其他因素的影响。这类工具起效果是在加密勒索软件没有正常工作的情况下或者说得到了某位公共安全领域的砖家提供了大力帮助的情况下实现的。因此这类测试将很难准备并且花费大量时间，这种时间要比需要应付层出不穷的勒索软件的时间长得多。

十二、为神马用户的电脑会出问题？

1. 安全教育不到位，这体现在对当今各种操控数据的社会工程攻击面前视若无睹上。

2. 家庭用户更加关心数据的备份与存储，这和中小企业的安全需求截然不同。

3. 用户忽视保护他们的文件与系统

4. 用户不经常升级软件。这给部分利用漏洞进行攻击的人以可乘之机。

5. 用户们错误地以为，他们只要不点进恶意网站或其它可疑链接，他们就高枕无忧了。

6. 用户们不知道的是，利用软件内部漏洞或浏览器内部漏洞进行的间接攻击并不会引起系统的任何注意，换言之，连个交互弹窗都不用（就可以破坏用户数据）。

7. 电脑上安装了杀软并不等于就安全了，一切的决定权都在用户手上。【真理啊，最大的危险其实就是我们自己】

+++++++++++++++++++++++++++++++++++++++++++

原文截图

猪头无双

十三、颁奖

【上图】




个人版



企业版

best+++：全部拦截，0遗漏

best++：漏过一个样本

good+：漏过两个样本

average：漏过三个样本

test：漏过四个及以上样本

十四、关于

【不全文翻译了，只是个该实验室的自我介绍，但是其中有一部分值得大家借鉴，翻译如下】

AVLab tests are independent and take place in conditions close to reality. Don’t be guided by our results when making a final decision in choosing antivirus program. In order to make a final choice we suggest to read tests from other independent laboratories that use different methods and techniques for testing antivirus software. In addition, decisions depends on personal preferences, specified features, efficiency, detection rate, impact on system performance, user interface, price, usability, compatibility, language, technical support quality and many other factors.

在用户选择杀软时，不要被我们的测试结果所影响。为了更加准确，请阅读其他实验室在其他条件下的测试结果进行综合考虑。.实际上，购买杀软的决定由下列因素所影响： 个人习惯, 特殊要求, 有效性,检测率, 对系统的影响, 用户界面, 价格, 易用性, 稳定性, 语言, 技术支持的质量等等。

完工

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

你们用RQ砸死我吧

墨家小子

私以为即使强悍如HIPS，只要用户一个关键点放过，也会招来灾难性的后果。

同道中人啊，想当初神网给俺造成的伤害至今没有愈合。所以现在实机测试挂马网页都是看见陌生程序执行系统程序或者IE执行系统程序想都不想立刻终止进程，然后记下网页地址，开影子再测试。

每顿需吃三大碗

评测结果总吓得我一聚灵

chenrui19930

那个网站打开全是波兰语

猪头无双

chenrui19930 发表于 2016-11-11 14:40
那个网站打开全是波兰语

我知道，这玩意在卡饭是敏感词，你非得说实话