查看: 13595|回复: 69
收起左侧

[分享] BD系杀软双击测试—对抗勒索病毒【附送Dr.Web测试】

  [复制链接]
小小瞻
发表于 2016-11-29 22:29:38 | 显示全部楼层 |阅读模式
本帖最后由 小小瞻 于 2017-1-8 12:21 编辑

测试说明
           操作系统: Windows 10 1607 64位
           样本来源:http://bbs.kafan.cn/thread-2047950-31-1.html【Bitdefender与各种各样千奇百怪的勒索软件的对抗测试(附部分勒软的解密工具)】(感谢@230f4 提供样本)
           样本名称:CockBlocker,TrueCrypter,Princess Locker,Dharma,OzozaLocker,Cerber 5.0.1,Rokku
           测试方法:全程联网,关闭被测试安全软件的实时监控,默认设置
           参测安全软件:FSCS 12.20,G Data Internet Security , BullGuard Internet Security 17.0 ,Emsisoft Internet Security 12.0 ,Dr.Web Space Security

测试结果
1.FSCS12.20:100%,未被加密

1.PNG
2.PNG

3.PNG

6.PNG

7.PNG

8.PNG

9.PNG

10.PNG


2.BullGuard Internet Security 17.0:被2个样本加密。
意外收获,BullGuard 已经更新到17版了,2个月前还是16版。
样本CockBlocker由于无法连接服务器,所以它没有加密成功。
1.PNG

2.PNG



样本TrueCrypter Ransomware需要安装NET.FRAME3.5,但是我时间有限,所以跳过。未测试。
样本Rokku ransomware加密成功,感染后文档拓展名变为.rokku,Bullguard失败。
3.PNG



样本Dharma被BullGuard拦截,未加密。
4.PNG

5.PNG


样本Princess Locker双击后无反应,未加密。
样本OzozaLocker双击后似乎遇到了问题,只在桌面上留下了一个让我交赎金的TXT文档,未加密。
8.PNG


样本Cerber 5.0.1加密成功,感染后文件拓展名变为.9958,BullGuard失败。 0000.PNG
99.PNG



3.Emsisoft Internet Security:Emsisoft拦截率取决于用户如何处理Emsisoft的弹窗提示,如果全部选择只允许一次,则用户会被2个样本加密;如果选择隔离,则不会被加密。相较于Bitdefender的ATC,Emsisoft的HIPS效果还是差点,毕竟面对HIPS的弹窗,更多的人会不知道如何选择。

1)样本CockBlocker无法连接到服务器,无法加密。

2)样本Dharma在运行后,Emsisoft弹窗提示 2.PNG ,选择只允许一次,再弹窗 3.PNG ,选择只允许一次,样本被隔离,但是文档还是被加密了,扩展名变为dhrama。 5.PNG


3)样本OzozaLocker运行后,弹窗 1.PNG ,选择只允许一次,弹窗 2.PNG ,选择只允许一次,弹窗 3.PNG ,选择只允许一次,样本被隔离,未被加密。 4.PNG

4)样本Princess Locker运行后貌似无动作,等待4分钟依然无动作,文件未被加密。
5)样本TrueCrypter Ransomware需要安装NET.Framework 3.5,为节省时间,跳过测试。

6)样本Rokku ransomware运行后,弹窗 5.PNG ,选择只允许一次,样本被隔离,文件未被加密 6.PNG

7)样本Cerber 5.0.1运行后,弹窗 7.PNG ,选择只允许一次,弹窗

9.PNG ,选择只允许一次,弹窗 11.PNG ,选择只允许一次, 14.PNG 16.PNG ,文件被加密,被加密文件扩展名为b4f8 。

4.G Data 无法在我的虚拟机上安装成功,所以无法测试,真遗憾。


5. Dr.Web Security Space:被2个样本加密。

1)样本CockBlocke运行后,弹窗 1.PNG ,选择允许一次,但是由于无法与服务器连接,所以无法加密。

2)样本Rokku ransomware运行后,文件被加密,扩展名为rokku,Dr,Web失败。 1.PNG


3)样本Dhrama运行后,Dr.Web拦截。 3.PNG


4)样本Princess Locker运行了2分钟后,Dr.web防火墙弹窗 4.PNG ,选择允许一次,等待了2分钟,样本无动作。

5)样本OzozaLocker运行后,防火墙弹窗 7.PNG ,选择允许一次,样本被拦截。 8.PNG

6)样本Cerber 5.0.1运行后,防火墙弹窗 111.PNG ,选择允许一次,文件立刻被加密,文件拓展名是.b4f8,
      Dr.Web失败。 121.PNG 141.PNG

7)样本TrueCrypter Ransomware需要安装NET.Framework 3.5,为节省时间,跳过测试。


本次测试历经2天,共耗时6小时,测试过程可谓一波三折。现在测试结束,感谢各位观看。

评分

参与人数 11经验 +100 分享 +2 魅力 +1 人气 +13 收起 理由
屁颠屁颠 + 100 + 1 16年年度奖励
houtiancheng + 1 测试辛苦,来补人气~
zixulongzhu + 1 原创内容
popu111 + 1 坚定了在下换emsi的心
275751198 + 1 版区有你更精彩: )

查看全部评分

小小瞻
 楼主| 发表于 2016-12-7 12:29:34 | 显示全部楼层
驭龙 发表于 2016-12-7 11:58
我没有测试,不多说,另外蜘蛛的主防需要云。
其他容后再议

如果我的测试有问题,那么大蜘蛛的主防的作用一次都不会有。而事实是样本OzozaLocker和Dhrama都被蜘蛛的主防拦截了,“用户文件的完整性。”所以,这次测试是没有问题的。
驭龙
发表于 2016-12-7 12:50:02 | 显示全部楼层
本帖最后由 驭龙 于 2016-12-7 12:54 编辑
小小瞻 发表于 2016-12-7 12:29
如果我的测试有问题,那么大蜘蛛的主防的作用一次都不会有。而事实是样本OzozaLocker和Dhrama都被蜘蛛的 ...

算了,我不独立发帖了,你自己看吧

我黑寡妇是11月1日的特征库,是旧的,对吧?
D 1.jpg

关闭Spider Guard文件监控,双击ROKKU样本,样本开始加密和生成勒索信的时候,大蜘蛛DPH杀无赦
D 2.jpg

图片文件夹部分文件被加密,但剩余了一个图片文件。
D 3.jpg

因此黑寡妇防ROKKU可以算半成功,或者失败和成功,但只是几个文件被加密,所以不能算完全失败。

接下来是cerber 5.0.1样本,双击被黑寡妇瞬间拦截,没有加密成功
剩余的图片安然无恙,也就是郁金香
D 5.jpg

两个样本都是被黑寡妇主防杀的,而且是旧特征库,只是rokku加密了一点点文件,但并不是彻底失败。
linzh
发表于 2016-12-8 02:10:18 | 显示全部楼层
本帖最后由 linzh 于 2016-12-8 02:11 编辑

上次我用旧毒库的蜘蛛测勒索结果被过了,驭龙大大当天的毒库蜘蛛主防却杀了(扫描miss说明并未入库)
甚是玄学,我记得我当时也是开了网络的,我这里不可能连不上蜘蛛的云的(我这里没有墙哦
Dolby123
发表于 2016-12-27 10:11:35 | 显示全部楼层
本帖最后由 Dolby123 于 2016-12-27 10:12 编辑

记得上次用蜘蛛测试cerber结果都是miss ,后来驭龙大哥当天测出DPH 杀,病毒库还是前一个月的 ,过后重启虚拟机,Cerber还真被DPH干掉
有几次上报病毒,客服回复说蜘蛛是可以测到,并指示病毒库更到最新啊什么的,其实当时测病毒已更到最新毒库 所以啊,用蜘蛛的童鞋建议测几遍啊,这玄学的事到现在无法解释清楚
其实是老人
发表于 2016-11-29 22:32:32 | 显示全部楼层
赶上直播了?支持楼主测试。希望插楼不要介意。
来自安卓客户端来自安卓客户端
rrorr
发表于 2016-11-29 22:40:51 | 显示全部楼层
不管怎样,先前排支持
看我FS的云拉黑大法
daixiaoran
发表于 2016-11-29 22:42:13 来自手机 | 显示全部楼层
本帖最后由 daixiaoran 于 2016-11-29 22:44 编辑

壮哉我大FS,不过,赌一人气,大部分是gemini引擎报的?
辔繇
发表于 2016-11-29 23:13:58 | 显示全部楼层
FS的主防误报太多,不太适合小白和普通用户,非常适合双击党
辔繇
发表于 2016-11-29 23:22:40 | 显示全部楼层
Emsisoft和360杀毒(360 TS,360TSE)也算是BD系比较有名的吧
l378923493
发表于 2016-11-29 23:44:47 | 显示全部楼层
辔繇 发表于 2016-11-29 23:13
FS的主防误报太多,不太适合小白和普通用户,非常适合双击党

还行,反正我给我女朋友装上了。没啥问题
来自安卓客户端来自安卓客户端
linzh
发表于 2016-11-30 06:20:11 | 显示全部楼层
前排点赞,然而我并不能发人气
支持楼主,话说360ts之流开BD引擎算不算BD系呢,我挺好奇360ts的防勒索能力的
还有管家国际版
hbzhang
发表于 2016-11-30 07:49:21 | 显示全部楼层
不能看,否则我又要换杀软了
墨家小子
发表于 2016-11-30 09:55:06 | 显示全部楼层
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-8-23 02:24 , Processed in 0.155810 second(s), 12 queries , MemCache On.

快速回复 返回顶部 返回列表