自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

houtiancheng

想测试的杀软全部测试完毕了，所以放出样本给大家尽情玩耍吧~



公布样本后，看看各家杀软的入库情况也是挺有意思的~

VirusTotal各个时间点查杀情况汇总：


2016-12-20 23:03:23 UTC 的VT扫描报告：8 / 57（报的除了红伞，似乎都是BD系）
https://www.virustotal.com/en/file/f66632ac896e02a917427e48dfc0ca8d742fbac5e39691530ec1cc28c24101ff/analysis/1482275003/
（谁上传的？）

2016-12-21 14:18:10 UTC 的VT扫描报告：12 / 56（多了4家了）
https://www.virustotal.com/en/fi ... nalysis/1482329890/

2016-12-22 09:20:10 UTC的VT扫描报告：20/56（又多了8家）
https://www.virustotal.com/en/fi ... nalysis/1482398410/


2016-12-22 15:28:43 UTC的VT扫描报告：25/56（再多5家，坐等过半）
https://www.virustotal.com/en/fi ... nalysis/1482420523/


2016-12-23 06:08:59 UTC的VT扫描报告：29/56（终于过半ww）
https://www.virustotal.com/en/fi ... nalysis/1482473339/

2016-12-30 14:16:55 UTC的VT扫描报告：32/56
https://www.virustotal.com/en/fi ... nalysis/1483107415/

03:37:28 UTC的VT扫描报告：33/56（AVG终于入库）
https://www.virustotal.com/en/fi ... nalysis/1483328248/



前言：

嘛……最近有点时间，所以搞了两个测试。
主要是为了测试杀软的未知威胁防护能力。
不过为了保证样本是杀软未知的，所以采用了断网测试的方法，虽然解释了很多，但是还是引起了很多不解。

因此，作为这段时间的启发和主防测试的一个总结性的考验……

那就自己写一个新的勒索病毒吧~！
既然要测试未知威胁，还有什么能比自己写的病毒更未知吗？



所以这两天就动手按照勒索病毒的各种行为惯例写了个勒索，project名为MyRansomware。
病毒行为上，之前看到有人说国产勒索都是一上来就开始加密，所以杀软们反而不好杀，所以就按照这个套路来啦~
（好吧，真相是我也不会写注入什么的……）


病毒的具体的行为：
1. 查找桌面和我的文档中是否有"Let's run the game!"文件（为了防止我自己误点，编程环境在实机……）
2. 等待一段时间（防误点+10086）
3. 随机产生一个256bit的key
4. 递归遍历桌面和我的文档，用AES的CTR模式加密所有的文件（包括文件名）（调用Crypto++库），加密后缀名为".enc"


5. 在桌面和我的文档各产生一个"EncryptedKey.encskip"（RSA加密的AES密钥，解密程序已写好）和"Recover Your Files! Readme.txt"
6. 在程序窗口显示readme的内容，并在桌面和我的文档分别生成勒索信“Recover Your Files! Readme.txt"

简而言之，就是RSA4096+AES256(CTR)混合加密，只加密桌面和我的文档，文件名和内容全部都加密。
没有Cerber那种高大上的语音和壁纸（感觉特征太大），也没有N国语言的勒索交钱网站233（反正也不是真的要去赚钱……）。




对抗各种杀软的测试：
根据我之前自己存的各大杀软12月12日的病毒库，进行了一下断网测试。
测试环境是：VirtualBox虚拟机，Windows7-32bit英文版操作系统。（WD在windows10系统上测试）



看图之前先说测试结论：

目前断网测试了：

杀毒软件名称	结果	备注
BD Free	Failed
AVG Free	Failed
Dr. Web	Failed
FSCS	Failed
Symantec Endpoint Protection	Failed	开启主动模式
360卫士	Failed
AVIRA Free	Failed
Fileseclab(费尔)	Failed
AVAST Free	Failed	20161218毒库，最高启发最高HIPS
BullGuard	Failed
360 Total Security	Failed
Bitdefender AntiRansomware	Failed
TrendMicro	Success
GDATA	Success
Kaspersky Internet Security	Success
Bitdefender Total Security	Success

（感谢linzh提供部分测试结果）

TrendMicro（趋势） ：
成功防御（需要设置一下防勒索，切到别的目录再切回来，安装时默认设置防护我的文档没有用）

BDTS：
ATC开启高仍然无法防御，但是如果开了防勒索则KILL。
不过由于勒索防御是白名单+指定文件夹访问控制，这种方法本质不算是真正的主防拦截，因此不在标题中显示为胜者。

卡巴（KIS）：
需要关闭“自动选择推荐操作”，然后靠着对我的文档的专用防修改规则成功防御。
不过由于默认设置下无法拦截，因此不在标题中显示为胜者。

GDATA：
在第一次测试的时候Failed了，但是我刚才又测试了一遍，使用1212病毒库，竟然能启发杀！！
这太令人惊讶了，不过考虑到启发应当只会报已有病毒家族的变形，所以这里还有一种可能性，就是这个属于误报。
同时，如果关闭实时防护，主防还是被过了……


联网测试了（含最新毒库）：

杀毒软件名称	结果	备注
火绒	Failed
FSCS	Failed
Symantec  Endpoint Protection	Failed	开启主动模式（a杀）和低威胁隔离
AVG  Internet Security	Failed
Dr.  Web	Failed
AVAST  Free	Failed
360  Total Security	Failed
Kaspersky  Internet Security	Failed	默认设置
ESET  Internet Security	Failed
COMODO  Internet Security	?	自动入沙，所以文件没有被加密，不过也没有触发viruscope。这个不好评价
AVIRA  Free	Failed	且未提示上传可疑文件。红伞APC不打算入库？
HitmanPro.Alert	Failed	有些意外
Spyshelter  Firewall	Failed	默认规则
McAfee  Endpoint Security	Failed
Windows  Defender	Failed
TrendMicro	Success
360卫士	Success

TrendMicro（趋势）：
我测了三次，只拦截了一次。
拦截应该是云主防发威，成功识别为ransomware并回滚了被加密的文件，不过忘记截图了………

360卫士：
联网情况下360勒索防御模块起作用，成功拦截。
（国内版360卫士拦了，但是360TS没拦住）



总结：

说真的，我自己是没有想到这个结果的。
这结果简直是杀软综合症的末日。

在测试之前我猜测能拦住的应该有卡巴、BD还有趋势（毕竟我的文档已经加入了趋势的防勒索监控范围之内）
从目前测试的结果来看，我的猜测是正确的。能够拦截的是：BD、卡巴和趋势，以及联网的360卫士。唯一意外的，就是GDATA了。

GDATA报的是静态启发，这其实是最好的防御时机：在病毒运行前就拦截，比运行后再靠主防拦截和回滚要好。
而其他的杀软，其实都有些问题。

首先，卡巴、趋势的防御其实都不算完美。
卡巴的问题：如果设为自动根据推荐进行操作（默认值），该程序就会被放行
趋势的问题：云主防三次才成功一次，实在不安心。
两者共同的问题：都是询问用户是否放行（user dependent），而360和BD是直接咔嚓。

其次，所有防御成功的杀软，都不是靠通用主防来拦截成功的（ATC这样的主防神器都给过了）。
他们都靠锁死关键文件夹，监控一切对其的修改来防御，我个人认为这种防御是比较低级的。
ps: 360的防御方式未知，期待有心人测试：

@vm001: 测试360的时候有些方式就可以过掉，如果要是单纯的文档的读写修改进行拦截的话，就不会出现漏的现象了

正是因为防御方法的低级（相当于限制对指定文件夹的读写，听起来很熟悉？没错，就是HIPS），为了防止误杀，要么需要用户来判断：卡巴、趋势，要么需要庞大的云白名单：360、趋势（为什么他们两个不做本地主防？私以为正是因为如果没有云白名单的加持，他们的主防误报太高，无法实用。当然，此处为私货，无根据）。
这种方式只能针对改动某些特定文件夹的勒索（趋势和卡巴都是，能防御我的文档，结果桌面文件还是被加密了）。
而不是真正地靠主动防御。
这使得我对他们在面临非勒索的全新威胁时的能力有一点疑虑。


至于剩下的其他杀软……
嗯，大家猜都猜到是什么情况了。


总结而言，我只能说：
第一，（本地）主防最高；
第二，防勒索各家其实最后还是只能靠锁死文件夹+白名单。


这次的测试给我敲响了警钟，如果我这么一个业余的人写出来的病毒都可以让各大杀软全MISS，那么那些专业的病毒作者呢？
至少在云入库之前，可能真的是畅行无阻吧。
要知道，我没有针对任何杀软做免杀或者试图隐藏该勒索病毒的行为。
在这种情况下，主防们没有一个起到了他们应该起到的作用（成功防御的靠的都不是本地主防）。
实话实说，我挺失望的，唉…




不多说了，各位看图吧：

卡巴（KIS）： Success

如果按照默认设置，那么就会Fail：


取消自动按推荐操作处理：Success (User Dependent)








BD Free： Failed



BDTS：
不开勒索防御，ATC开到高：Failed



开启勒索防御：Success








AVG Free：Failed



Dr. Web：Failed



FSCS：Failed



GDATA：
第一次测试：Failed

第二次测试（1212病毒库，断网）：Success（启发杀！）



SEP：Failed
未开主动模式：

开启主动模式：Failed



TrendMicro（趋势）：
安装之后用默认设置：Failed

重新设置一下，勒索保护的文件夹从我的文档切到别处再切回来：Success (User Dependent)



360（断网）：Failed


AVIRA：Failed



Fileseclab（费尔）：
默认设置：Failed

主防开到最高：Failed



AVAST Free(20161218毒库，最高启发和HIPS）：Failed
AVAST最开始自动入沙了，但是运行15秒后认为没问题就自动退出沙盘状态开始实际运行：Failed




BullGuard：Failed


360TS：Failed


BitDefender AntiRansomware：Failed



联网测试截图：

火绒（联网，20161218222204）：Failed


FSCS（联网，201612191150）：Failed



SEP14（联网，201612191638，开启主动模式和低威胁隔离）：Failed



AVG IS（联网，201612191940)：Failed


Dr. Web（联网，201612192100）：Failed


AVAST Free（联网，201612192117）：Failed
一开始小a自动入沙，不过很快就放行：

然后文件就被加密了：



360TS（联网，201612192128）：Failed
中间提示了一下修改desktop.ini，放行后就被加密。防勒索模块未起作用。


KIS（联网，已开KSN，201612192140）：Failed


TrendMicro（趋势）（联网，201612192201）：Failed 2, Success 1
三次测试，一次主防成功防御，两次需要靠我的文档的防勒索防护，且只是跳出提示让用户选择。
成功的那次忘记截图了orz
失败的一次：



ESET IS（联网，201612192214）：Failed


COMODO IS（联网，201612192354）：？（自动入沙）


AVIRA Free（联网，201612200014）：Failed
并且红伞没有提示要上传该文件，说明红伞并不认为该病毒是suspicious的。


HitmanPro.Alert（联网，201612201840，3.6.1 Build 574 和谐版 ）：Failed


Spyshelter Firewall（联网，201612201850，SSF10和谐版）：Failed


McAfee Endpoint Security（MES）（联网，201612202130）：Failed


Windows Defender（联网，201612202140）：Failed



360卫士（联网，20161218222854）：
勒索防护：Success


被加密几个文件，但回滚成功：




至此，我觉得该测的都测试了。再结合我的前两次启发及主防测试，我相信大家已经对各个杀软的新威胁防御能力有了一个直观的认识。
多谢大家的支持~！

猪头无双

趋势被过不意外，断网，无云。

LZ可以试试ESET、红伞之类的启发引擎看看效果

或者加个avast也行我倒要看看avast的hips是个神马水平。

AVG的IDP应该是和病毒库联动，如果不更新，IDP也是废

GD半云，类似的sonar好像也是有云的参与，断网也有影响

houtiancheng

猪头无双 发表于 2016-12-18 21:48
趋势被过不意外，断网，无云。

LZ可以试试ESET、红伞之类的启发引擎看看效果

更新没有意义，这是全新的毒

vm001

支持楼主，这种的应该360可以防御，楼主测试下

vm001

houtiancheng 发表于 2016-12-18 21:49
更新没有意义，这是全新的毒

楼主可以私信给一下样本，我这里也测试下。。

神龟Turmi

houtiancheng 发表于 2016-12-18 21:49
更新没有意义，这是全新的毒

把样本改成 刷枪.exe
坛子里的AS安全地带文件名引擎Success~
（捂脸逃）

houtiancheng

vm001 发表于 2016-12-18 21:50
支持楼主，这种的应该360可以防御，楼主测试下

断网的话360就没成功拦截过勒索……
联网的话。。我才不想这么快就给360的云送样本呢~

vm001

houtiancheng 发表于 2016-12-18 21:52
断网的话360就没成功拦截过勒索……
联网的话。。我才不想这么快就给360的云送样本呢~

关闭360的未知样本上传，他就拿不到了。。

sounydqb

怎么没红伞？

每顿需吃三大碗

红伞的呢