查看: 171473|回复: 746
上一主题 下一主题
收起左侧

[技术原创] WanaCrypt0r勒索病毒:20款杀软主防测试【新增变种测试,结果有变】

  [复制链接]
houtiancheng
跳转到指定楼层
1
发表于 2017-5-13 23:50:47 | |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 houtiancheng 于 2017-5-17 22:45 编辑

你们要的公平公正公开的测试来啦~
这次是AV- Comparatives的权威测试,采用爆发前不久的毒库对WannaCry进行测试
虽然也是断网……不过这个没得喷了吧~

http://weblog.av-comparatives.or ... annacry-ransomware/

结果如下:
Adaware Pro SecurityProtected
Avast Free AntivirusProtected
AVG Free AntivirusProtected
AVIRA Antivirus ProProtected
Bitdefender Internet SecurityProtected
BullGuard Internet SecurityProtected
CrowdStrike Falcon PreventProtected
Emsisoft Anti-MalwareProtected
eScan Corporate 360Protected
ESET Internet SecurityNot protected
F-Secure SAFEProtected
Fortinet FortiClientNot protected
Kaspersky Internet SecurityProtected
McAfee Internet SecurityNot protected
Microsoft Security EssentialsNot protected
Panda Free AntivirusProtected
Seqrite Endpoint SecurityProtected
Tencent PC ManagerProtected
Symantec Norton SecurityProtected
Trend Micro Internet SecurityProtected
VIPRE Advanced Security for HomeProtected


ESET、Fortinet、McAfee、MSE要打屁股


————————————————我是变种测试的分割线——————————————————


刚刚看到样本区出现了一个过当下BD的变种,又来了兴趣,所以对部分杀软进行了重测

测试条件与原测试一致。

样本:
http://bbs.kafan.cn/thread-2089484-1-1.html

重测的结果如下,如果和原测试的结果叠加则更有说服力。名字前带星号的表示与原测试结果有区别。


重测中成功防御的:

Kaspersky Internet Security(20161212):同样是加密后回滚成功

F-Secure Client Security(20161212):DG继续给力,在加密开始之前就拦截了

Cybereason RansomFree(20161231,v2.1.1.0):防御成功

※Symantec Endpoint Protection(20161212):这次SEP成功B杀(启发杀),算是有一个交代了



重测中在部分场景能够防御的:

HitManPro.Alert(3.6.1 Build 574):与原测试结果一致。
如果是桌面和我的文档都放置私人文件,则能够防御,不过还是会弹出勒索GUI和替换桌面背景
如果是只有桌面有私人文件,则防御失败,无弹窗。



重测中防御失败的:

※BitDefender Free(20161212):这次是一声不吭被加密……
※Dr. Web Anti-Virus(20161212):这次启发不到了……启发的宝座让给SEP了

AVG Free(20161212):防御失败





————————————————我是推荐阅读的分割线——————————————————


顺便蹭一波热度吧:

我前几个月做了一系列的对比测试,方法都和这次一致,你可以用于参考

国内外12款杀毒软件启发及主防测试

http://bbs.kafan.cn/thread-2063566-1-1.html

【第二弹】11款免费杀软启发和主防测试
http://bbs.kafan.cn/thread-2068830-1-1.html

【第三弹测试热身】Cybereason RansomFree 防勒索测试
http://bbs.kafan.cn/thread-2071327-1-1.html

【第三弹】9款杀软启发及主防测试(这个没测完,本来是22款的……这次此时所用的虚拟机镜像本来是用于第三弹的= =)
http://bbs.kafan.cn/thread-2074274-1-1.html


每次断网测试都有人吐槽,为了实现联网测试“全新病毒”
就有了:自制勒索病毒+联网的测试
http://bbs.kafan.cn/thread-2069598-1-1.html

————————————————我是吐槽的分割线——————————————————

吐槽一下:

本文被驱动之家、cnBeta等各类新闻网站在无通知、无署名的情况下引用、转载
本来这已经够神烦的了……
然后360的公关部看到了这些抄袭的稿子,并表示本文是”黑稿“……
嗯……如此一个清清楚楚的测评也是恶意黑360的呢~
厉害,佩服



http://weibo.com/1645903643/F35P ... t_id=0&type=comment


————————————————我是原文的分割线——————————————————

HMPA的测试结果有变,请参照后文

原文:

看到最近这个勒索这么火,手痒啦~
这个样本主要应该是靠漏洞传播,刚好合适我的测试环境,所以来测试一下看看各大杀软的主防是否有效。


测试的方法照旧是锁库+断网(不再对这个测试方法回复,详情参照我之前的测试贴)。
这次用的大部分杀软都锁在2016年12月12日的库,虽然很早很早,但结果依然令人惊讶的好。

测试环境:
VBox虚拟机,win7英文版SP1(未打补丁),各杀毒软件均采用默认设置,解压后直接双击运行病毒

样本下载:
http://bbs.kafan.cn/thread-2088985-1-1.html



测试结果:

防御成功的(会留下一些无害衍生物):
BitDefender Free(20161212):一声不吭就杀掉了,
Kaspersky Internet Security(20161212):被加密了一些后,主防杀,成功回滚
F-Secure Client Security(20161212):主防杀
Dr. Web Anti-Virus(20161212):启发杀,非常神奇(http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀)
Cybereason RansomFree(20161231,v2.1.1.0):成功拦截

Emsisoft Internet Security(20170104):智能HIPS杀,Emsisoft与其他杀软相比HIPS性质较强,需要更多人工参与,因此不作并列。

SandBoxie(v5.12):预期之内,即使是旧版本的沙盘,依旧不会被穿

在部分场景能够防御的:
HitManPro.Alert(3.6.1 Build 574):如果只在桌面放置供加密的文档、照片等勒索目标,则HMPA无反应;但是如果同时在我的文档中也放置个人文件,则HMPA可以成功防御


检测到非法行为但拦截失败/后知后觉的:
Trend Micro(20161212)
GDATA(20161212)
这个都有弹窗,但是即使点block,文件都已经被加密



防御失败的(无反应被加密):
360杀毒+360卫士(20161212)
360 Total Security(20161212)
火绒(20161212)
费尔(20161212)
AVAST Internet Security(20170127,旧版)
AVAST Internet Security(20170210,IDP融合后的版本)
AVG Free(20161212)
McAfee Endpoint Security(20161220)
Symantec Endpoint Protection(20161212)
AVIRA Free(20161212)
ESET Internet Security(20161219)

总结:

之前看到有人说,国外这些杀软大厂技术先进,可能领先几个月之多。
当时我不太相信,不过现在只能说,大写的服~
无论从哪个测试看,无疑卡巴和BD都是现在杀软大军中的超一流,这再次得到了验证。
这也再次证明了主防的必要性。
用5个月前的毒库和行为库斩杀了5个月后流行的病毒,事实胜于雄辩。
(可惜了我的AVG……不给力啊)
(ps:如果让exe入沙运行,AVG的IDP是会有弹窗拦截的,算是个小惊喜ww)
(pps:本次测试娱乐成分居多,结果仅供参考~)



截图:


防御成功的:

BDF:


KIS:


FSCS:


DrWeb AV:


Cybereason RansomFree:


Emsisoft IS:


SBie:



在部分场景能够防御的:
HMPA:
只在桌面有个人文件——防御失败


在桌面和我的文档都有个人文件——防御成功



后知后觉的:

TrendMicro:




GDATA:







防御失败的:

360杀毒+卫士:


360TS:


火绒:


费尔:


AVAST旧版:


AVAST新版:


AVG:



MES:


SEP:


AVIRA:

ESET:


























评分

参与人数 41分享 +2 人气 +47 收起 理由
走丢啦 + 1 感谢提供分享
★心空☆ + 1 赞一个!
dongwenqi + 1 版区有你更精彩: )
sunnyjianna + 1 版区有你更精彩: )
风行空 + 1 精品文章

查看全部评分

KevinYu0504
2
发表于 2017-5-13 23:58:40 |
本帖最后由 KevinYu0504 于 2017-5-13 23:59 编辑

测试辛苦了 ~
这样测试下来,谁的主防是真本事,谁是吹出来的挺明显的

Emsisoft 表现令人满意,
趋势让我有点小意外,怎弹窗却没挡住呢

HMPA 反倒是让我有讶异,我记得 HMPA 不是偏向行为侦测吗 ? 竟然没堵住 .....
虽说新版实测可以挡的下 WannaCry,旧版却翻车了

不知道您有无机能请您测试看看 Malwarebytes ?
houtiancheng
3
 楼主| 发表于 2017-5-14 00:02:06 |
KevinYu0504 发表于 2017-5-13 23:58
测试辛苦了 ~
这样测试下来,谁的主防是真本事,谁是吹出来的挺明显的

木有装,现在安装版本就太新啦,不公平~
MENGXIUYUAN
4
发表于 2017-5-14 00:05:14 |
测试辛苦,可以试试comodo吗
zx900930
5
发表于 2017-5-14 00:05:50 |
壮哉我大FS

BD Free啥时候能手动排除也是个不错的选择

倒是铁壳 咖啡这种扫描不是强项的杀软居然没防住让我有点意外
houtiancheng
6
 楼主| 发表于 2017-5-14 00:06:43 |
MENGXIUYUAN 发表于 2017-5-14 00:05
测试辛苦,可以试试comodo吗

不用测都知道会入沙……然后就没有然后了
KevinYu0504
7
发表于 2017-5-14 00:07:11 |
houtiancheng 发表于 2017-5-14 00:02
木有装,现在安装版本就太新啦,不公平~

对吼,现在测试就是新版的,确实不公平了
zongk
头像被屏蔽
8
发表于 2017-5-14 00:07:30 |
奶奶,mcafee vse呢,comodo呢怎么没测
houtiancheng
9
 楼主| 发表于 2017-5-14 00:07:43 |
zx900930 发表于 2017-5-14 00:05
壮哉我大FS

BD Free啥时候能手动排除也是个不错的选择

SEP没防住确实意外,MES就……
houtiancheng
10
 楼主| 发表于 2017-5-14 00:08:44 |
zongk 发表于 2017-5-14 00:07
奶奶,mcafee vse呢,comodo呢怎么没测
不对,奶奶是个什么鬼
comodo不然就入沙,不然就是个HIPS,和这些性质杀软差太远
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-5-24 10:05 , Processed in 0.089701 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表