ESET10勒索病毒防御测试

windows7爱好者

测试环境： win10 ltsb 14393，打好最新补丁，使用Shadow Defender进行测试，测试全程使用梯子
ESET版本：

测试时所用设置全部为默认，关闭文件监控，开启HIPS的智能模式
注意！本测试只单独测试ESET的反勒索保护功能，不代表ESET的最大防护能力，请不要因此而觉得ESET毫无亮点！



注意！由于malware traffic上的某些样本并不是勒索，所以我只测试被典型标注为勒索软件的程序


第一个样本

毫无反应，真是不给面子啊

第二个样本

被高级内存扫描击杀

经过和驭龙以及fireherman的讨论，我决定关闭高级内存扫描，单独测试ESET的反勒索功能
在添加了文件系统防护的排除以后，AMS终于不杀了，重新测试第一个样本



然后我体验到了什么叫做惨败
先来一张说明书，恐怖的是，creber居然会播放声音来提醒用户文件被加密，一个年轻女性的声音，吓我一跳

再来一张桌面背景
由于彩色图片太大，所以只能截这么多了，红线标出的是上图的勒索信程序
最后再来看看战果，creber的勒索后缀貌似是随机的，后缀为b931，一共加密了5373个项目

今晚看情况， 有时间我会进行第二个测试，没有的话就得等到明天了
容我先缓缓

windows7爱好者

鉴于广大人民的要求....
有请我们的二号选手登场

这次我从13号的包里找了另一个类型，没有用creber

看到疯狂的磁盘读写，我就莫名的慌
首先我要怒骂一句，你TM足足加密了15分钟，中途卡的不能操作...你这样子用户早就发现了好吧
桌面背景镇楼

受害者镇楼，里面有一个，就是我刚截的图片，没有加密

这个勒索比creber更加狠毒，废话，时间更长嘛
加密后缀odin，6545个文件

看，有趣的现象就在这里
ESET保护了 自己的文件免受加密，但这是自保模块的功劳，勒索防护依然在打酱油，没有丝毫的作为

另外通过这个日志，不难发现，这个勒索是通过复制一份原文件，
然后进行加密，再删除原文件的方式进行的，可以根据日志的其他信息得出
最后再补上一发勒索信，还原去了

RSA-2048

windows7爱好者

第三个
取自我以前发的老样本，以快准狠为特点
http://bbs.kafan.cn/thread-2059119-1-1.html
老方法，添加文件系统保护排除，同时关闭保护


干脆利索，我喜欢

同样，ESET很好的保护了自己

我突然想到一个好办法，把自己的文档放到ESET的目录下面，这样就说不定OK啦


这个勒索可以说是雨露均沾，EXE,DLL,JS,HTML,JPG,PNG,
甚至连快捷方式都没放过

windows7爱好者

从第四个开始，跟进和 Bitdefender的对比测试
样本来源于http://bbs.kafan.cn/forum.php?mo ... page=23#pid38657622
222楼
长期更进
样本介绍我就不照抄了，毕竟看疗效重要




JackPot看着旁边被加密的的文件：什么，我是无辜的
勒索信是一个全屏提示，低调黑，我喜欢

加密后缀为coin
有趣的是，这个勒索只会动C盘的文件，并且对深层次目录不感兴趣，因此ESET没有受到骚扰[:01:]
1416个文件，挺温柔

windows7爱好者

第五个，跟进中
这个测试完后，我会添加官方反勒索规则重新测试这5个样本，用来对比自带的反勒索功能

双击2秒直接弹出勒索信，还带动感闪光，我喜欢

此勒索着重于对系统的破坏。双击后，系统一部分变成英文
系统文件被加密

小E继续酱油，自己没有大碍

windows7爱好者

走过路过不要错过，官方反勒索规则来啦！
这是HIPS部分

这是FW部分

绝对原生，绝无修改!(其实我也不会修改 ）

再次有请我们5位擂主

防火墙使用默认的自动模式，HIPS也仍为默认的智能模式，关闭高级内存扫描
稍后回来，测试马上开始

windows7爱好者

第一个：GOGOGO
CREBER会调用CMD删除卷影备份，防火墙规则里有关于CMD的，不过和这个调用CMD删除备份关系不大，是禁止CMD联网的，不知结果如何呢

看到莫名高的读写，我又开始方了

果然 我们的ESET这次！
又战败了...


补充说明：样本加密完成后会自删除，然后产生勒索信程序（红线部分）
然后用甜美的女声告诉你：快给我比特币

HIPS日志空空如也

防火墙日志空空如也

被加密文件数我就不上了，参考上次测试

windows7爱好者

第二个
出现了一些小问题，本来的第二个样本在我这里莫名抽风，
关掉防护，加了排除，依然被AMS杀掉，所以这里将第二个换为原测试中第三个样本进行测试


HIPS和防火墙的依然在打酱油，本轮测试继续失败

windows7爱好者

第三个样本（使用原测试第4个）





不需要解释什么了，三连败

windows7爱好者

第四个（使用原帖第5个进行测试）
这个勒索是毛子的
勒索信在此
以破坏系统为主要目标，对个人文档不出手，所以加密是瞬间完成，无法截取任务管理器里的进程
然后会强制占用屏幕前端，弹出这个

HIPS  and   FW



由于第二个样本临时抽风，这4个的测试已经说明了一些问题，所以第五个测试我将不再测试原测试样本
我要测试JS下载器，让你们看看官方规则的用武之处
不能太不给官方面子对吧

windows7爱好者

全新测试！
这些全部都是下载者，我给简单的编了1-6号

双击第一个


但是欣喜之余，发现起作用的仍然不是官方规则，而是僵尸网络防护的内部网址拉黑

我想了一下，先把hta 的类型双击完吧
果然发现全是僵尸网络防护在起作用，这些地址都被拉黑了
第二个



第三个


这个测试说明ESET对于下载者还是有很不错的防护能力，靠内部的网址拉黑，能起到不错的效果

windows7爱好者

这次到真正的JS的下载者

我们的官方规则，终于起作用了

三个都为这个提示，属于HIPS规则部分，禁止EXPLORER启动脚本宿主程序
事实上还禁止了一大堆，但是这是有弊处的，我想你们应该知道


本次测试圆满结束，以后我会不定期更新和BD的样本对比测试
直到....直到ESET的反勒索和BD一样优秀为止
附上官方规则地址
hips http://support.eset.com/kb6119/
fw http://support.eset.com/kb6132/
先去喝口茶

驭龙

我刚好回来看一眼，先支持了，明天送上人气，我先下了

fireherman

小7的ESET测试怎能不支持？

Johnkay.Young

支持测试，看看ESET主动防御能力。

windows7爱好者

fireherman 发表于 2016-10-28 19:03
小7的ESET测试怎能不支持？

问下，AMS需不需要关闭
是不是入库了的AMS都会杀掉，这样就无法测试了

屁颠屁颠

快更

星云劫

等更新中。等会儿回来看。辛苦了。

lipi000

板凳子围观

fireherman

windows7爱好者 发表于 2016-10-28 19:07
问下，AMS需不需要关闭
是不是入库了的AMS都会杀掉，这样就无法测试了

怎么说呢，我个人觉得：AMS是一个很特殊的主防，他以HIPS为基础，结合自身的杀毒引擎（病毒库，特征库）来进行防护。

如果单纯为了测试10的防勒索……其实我都不知道应不应该关。

不关的话，入库了就一定杀你。

关闭的话，相当于纯（官方内部）HIPS防御。

而就【默认】而言，AMS是开的，但又和病毒库息息相关……

我母鸡啊……问@驭龙  和 @qftest  

聆听落雨

不错，支持一下