查看: 299203|回复: 772
收起左侧

[技术原创] WanaCrypt0r勒索病毒:20款杀软主防测试【新增变种测试,结果有变】

  [复制链接]
houtiancheng
发表于 2017-5-13 23:50:47 | 显示全部楼层 |阅读模式
本帖最后由 houtiancheng 于 2017-5-17 22:45 编辑

你们要的公平公正公开的测试来啦~
这次是AV- Comparatives的权威测试,采用爆发前不久的毒库对WannaCry进行测试
虽然也是断网……不过这个没得喷了吧~

http://weblog.av-comparatives.or ... annacry-ransomware/

结果如下:
Adaware Pro SecurityProtected
Avast Free AntivirusProtected
AVG Free AntivirusProtected
AVIRA Antivirus ProProtected
Bitdefender Internet SecurityProtected
BullGuard Internet SecurityProtected
CrowdStrike Falcon PreventProtected
Emsisoft Anti-MalwareProtected
eScan Corporate 360Protected
ESET Internet SecurityNot protected
F-Secure SAFEProtected
Fortinet FortiClientNot protected
Kaspersky Internet SecurityProtected
McAfee Internet SecurityNot protected
Microsoft Security EssentialsNot protected
Panda Free AntivirusProtected
Seqrite Endpoint SecurityProtected
Tencent PC ManagerProtected
Symantec Norton SecurityProtected
Trend Micro Internet SecurityProtected
VIPRE Advanced Security for HomeProtected


ESET、Fortinet、McAfee、MSE要打屁股


————————————————我是变种测试的分割线——————————————————


刚刚看到样本区出现了一个过当下BD的变种,又来了兴趣,所以对部分杀软进行了重测

测试条件与原测试一致。

样本:
http://bbs.kafan.cn/thread-2089484-1-1.html

重测的结果如下,如果和原测试的结果叠加则更有说服力。名字前带星号的表示与原测试结果有区别。


重测中成功防御的:

Kaspersky Internet Security(20161212):同样是加密后回滚成功

F-Secure Client Security(20161212):DG继续给力,在加密开始之前就拦截了

Cybereason RansomFree(20161231,v2.1.1.0):防御成功

※Symantec Endpoint Protection(20161212):这次SEP成功B杀(启发杀),算是有一个交代了



重测中在部分场景能够防御的:

HitManPro.Alert(3.6.1 Build 574):与原测试结果一致。
如果是桌面和我的文档都放置私人文件,则能够防御,不过还是会弹出勒索GUI和替换桌面背景
如果是只有桌面有私人文件,则防御失败,无弹窗。



重测中防御失败的:

※BitDefender Free(20161212):这次是一声不吭被加密……
※Dr. Web Anti-Virus(20161212):这次启发不到了……启发的宝座让给SEP了

AVG Free(20161212):防御失败





————————————————我是推荐阅读的分割线——————————————————


顺便蹭一波热度吧:

我前几个月做了一系列的对比测试,方法都和这次一致,你可以用于参考

国内外12款杀毒软件启发及主防测试

http://bbs.kafan.cn/thread-2063566-1-1.html

【第二弹】11款免费杀软启发和主防测试
http://bbs.kafan.cn/thread-2068830-1-1.html

【第三弹测试热身】Cybereason RansomFree 防勒索测试
http://bbs.kafan.cn/thread-2071327-1-1.html

【第三弹】9款杀软启发及主防测试(这个没测完,本来是22款的……这次此时所用的虚拟机镜像本来是用于第三弹的= =)
http://bbs.kafan.cn/thread-2074274-1-1.html


每次断网测试都有人吐槽,为了实现联网测试“全新病毒”
就有了:自制勒索病毒+联网的测试
http://bbs.kafan.cn/thread-2069598-1-1.html

————————————————我是吐槽的分割线——————————————————

吐槽一下:

本文被驱动之家、cnBeta等各类新闻网站在无通知、无署名的情况下引用、转载
本来这已经够神烦的了……
然后360的公关部看到了这些抄袭的稿子,并表示本文是”黑稿“……
嗯……如此一个清清楚楚的测评也是恶意黑360的呢~
厉害,佩服



http://weibo.com/1645903643/F35P ... t_id=0&type=comment


————————————————我是原文的分割线——————————————————

HMPA的测试结果有变,请参照后文

原文:

看到最近这个勒索这么火,手痒啦~
这个样本主要应该是靠漏洞传播,刚好合适我的测试环境,所以来测试一下看看各大杀软的主防是否有效。


测试的方法照旧是锁库+断网(不再对这个测试方法回复,详情参照我之前的测试贴)。
这次用的大部分杀软都锁在2016年12月12日的库,虽然很早很早,但结果依然令人惊讶的好。

测试环境:
VBox虚拟机,win7英文版SP1(未打补丁),各杀毒软件均采用默认设置,解压后直接双击运行病毒

样本下载:
http://bbs.kafan.cn/thread-2088985-1-1.html



测试结果:

防御成功的(会留下一些无害衍生物):
BitDefender Free(20161212):一声不吭就杀掉了,
Kaspersky Internet Security(20161212):被加密了一些后,主防杀,成功回滚
F-Secure Client Security(20161212):主防杀
Dr. Web Anti-Virus(20161212):启发杀,非常神奇(http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀)
Cybereason RansomFree(20161231,v2.1.1.0):成功拦截

Emsisoft Internet Security(20170104):智能HIPS杀,Emsisoft与其他杀软相比HIPS性质较强,需要更多人工参与,因此不作并列。

SandBoxie(v5.12):预期之内,即使是旧版本的沙盘,依旧不会被穿

在部分场景能够防御的:
HitManPro.Alert(3.6.1 Build 574):如果只在桌面放置供加密的文档、照片等勒索目标,则HMPA无反应;但是如果同时在我的文档中也放置个人文件,则HMPA可以成功防御


检测到非法行为但拦截失败/后知后觉的:
Trend Micro(20161212)
GDATA(20161212)
这个都有弹窗,但是即使点block,文件都已经被加密



防御失败的(无反应被加密):
360杀毒+360卫士(20161212)
360 Total Security(20161212)
火绒(20161212)
费尔(20161212)
AVAST Internet Security(20170127,旧版)
AVAST Internet Security(20170210,IDP融合后的版本)
AVG Free(20161212)
McAfee Endpoint Security(20161220)
Symantec Endpoint Protection(20161212)
AVIRA Free(20161212)
ESET Internet Security(20161219)

总结:

之前看到有人说,国外这些杀软大厂技术先进,可能领先几个月之多。
当时我不太相信,不过现在只能说,大写的服~
无论从哪个测试看,无疑卡巴和BD都是现在杀软大军中的超一流,这再次得到了验证。
这也再次证明了主防的必要性。
用5个月前的毒库和行为库斩杀了5个月后流行的病毒,事实胜于雄辩。
(可惜了我的AVG……不给力啊)
(ps:如果让exe入沙运行,AVG的IDP是会有弹窗拦截的,算是个小惊喜ww)
(pps:本次测试娱乐成分居多,结果仅供参考~)



截图:


防御成功的:

BDF:


KIS:


FSCS:


DrWeb AV:


Cybereason RansomFree:


Emsisoft IS:


SBie:



在部分场景能够防御的:
HMPA:
只在桌面有个人文件——防御失败


在桌面和我的文档都有个人文件——防御成功



后知后觉的:

TrendMicro:




GDATA:







防御失败的:

360杀毒+卫士:


360TS:


火绒:


费尔:


AVAST旧版:


AVAST新版:


AVG:



MES:


SEP:


AVIRA:

ESET:


























本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 42分享 +2 人气 +48 收起 理由
墨家小子 + 1 还好我的岛国艺术家的片子都藏在移动硬盘里
走丢啦 + 1 感谢提供分享
★心空☆ + 1 赞一个!
dongwenqi + 1 版区有你更精彩: )
sunnyjianna + 1 版区有你更精彩: )

查看全部评分

KevinYu0504
发表于 2017-5-13 23:58:40 | 显示全部楼层
本帖最后由 KevinYu0504 于 2017-5-13 23:59 编辑

测试辛苦了 ~
这样测试下来,谁的主防是真本事,谁是吹出来的挺明显的

Emsisoft 表现令人满意,
趋势让我有点小意外,怎弹窗却没挡住呢

HMPA 反倒是让我有讶异,我记得 HMPA 不是偏向行为侦测吗 ? 竟然没堵住 .....
虽说新版实测可以挡的下 WannaCry,旧版却翻车了

不知道您有无机能请您测试看看 Malwarebytes ?
houtiancheng
 楼主| 发表于 2017-5-14 00:02:06 | 显示全部楼层
KevinYu0504 发表于 2017-5-13 23:58
测试辛苦了 ~
这样测试下来,谁的主防是真本事,谁是吹出来的挺明显的

木有装,现在安装版本就太新啦,不公平~
MENGXIUYUAN
发表于 2017-5-14 00:05:14 | 显示全部楼层
测试辛苦,可以试试comodo吗
zx900930
发表于 2017-5-14 00:05:50 | 显示全部楼层
壮哉我大FS

BD Free啥时候能手动排除也是个不错的选择

倒是铁壳 咖啡这种扫描不是强项的杀软居然没防住让我有点意外
houtiancheng
 楼主| 发表于 2017-5-14 00:06:43 | 显示全部楼层
MENGXIUYUAN 发表于 2017-5-14 00:05
测试辛苦,可以试试comodo吗

不用测都知道会入沙……然后就没有然后了
KevinYu0504
发表于 2017-5-14 00:07:11 | 显示全部楼层
houtiancheng 发表于 2017-5-14 00:02
木有装,现在安装版本就太新啦,不公平~

对吼,现在测试就是新版的,确实不公平了
zongk
头像被屏蔽
发表于 2017-5-14 00:07:30 | 显示全部楼层
奶奶,mcafee vse呢,comodo呢怎么没测
houtiancheng
 楼主| 发表于 2017-5-14 00:07:43 | 显示全部楼层
zx900930 发表于 2017-5-14 00:05
壮哉我大FS

BD Free啥时候能手动排除也是个不错的选择

SEP没防住确实意外,MES就……
houtiancheng
 楼主| 发表于 2017-5-14 00:08:44 | 显示全部楼层
zongk 发表于 2017-5-14 00:07
奶奶,mcafee vse呢,comodo呢怎么没测
不对,奶奶是个什么鬼
comodo不然就入沙,不然就是个HIPS,和这些性质杀软差太远
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 22:47 , Processed in 0.131228 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表