查看: 21784|回复: 69
收起左侧

[分享] BD系杀软双击测试—对抗勒索病毒【附送Dr.Web测试】

  [复制链接]
小小瞻
发表于 2016-11-29 22:29:38 | 显示全部楼层 |阅读模式
本帖最后由 小小瞻 于 2017-1-8 12:21 编辑

测试说明
           操作系统: Windows 10 1607 64位
           样本来源:http://bbs.kafan.cn/thread-2047950-31-1.html【Bitdefender与各种各样千奇百怪的勒索软件的对抗测试(附部分勒软的解密工具)】(感谢@230f4 提供样本)
           样本名称:CockBlocker,TrueCrypter,Princess Locker,Dharma,OzozaLocker,Cerber 5.0.1,Rokku
           测试方法:全程联网,关闭被测试安全软件的实时监控,默认设置
           参测安全软件:FSCS 12.20,G Data Internet Security , BullGuard Internet Security 17.0 ,Emsisoft Internet Security 12.0 ,Dr.Web Space Security

测试结果
1.FSCS12.20:100%,未被加密

















2.BullGuard Internet Security 17.0:被2个样本加密。
意外收获,BullGuard 已经更新到17版了,2个月前还是16版。
样本CockBlocker由于无法连接服务器,所以它没有加密成功。






样本TrueCrypter Ransomware需要安装NET.FRAME3.5,但是我时间有限,所以跳过。未测试。
样本Rokku ransomware加密成功,感染后文档拓展名变为.rokku,Bullguard失败。




样本Dharma被BullGuard拦截,未加密。





样本Princess Locker双击后无反应,未加密。
样本OzozaLocker双击后似乎遇到了问题,只在桌面上留下了一个让我交赎金的TXT文档,未加密。



样本Cerber 5.0.1加密成功,感染后文件拓展名变为.9958,BullGuard失败。




3.Emsisoft Internet Security:Emsisoft拦截率取决于用户如何处理Emsisoft的弹窗提示,如果全部选择只允许一次,则用户会被2个样本加密;如果选择隔离,则不会被加密。相较于Bitdefender的ATC,Emsisoft的HIPS效果还是差点,毕竟面对HIPS的弹窗,更多的人会不知道如何选择。

1)样本CockBlocker无法连接到服务器,无法加密。

2)样本Dharma在运行后,Emsisoft弹窗提示,选择只允许一次,再弹窗,选择只允许一次,样本被隔离,但是文档还是被加密了,扩展名变为dhrama。。


3)样本OzozaLocker运行后,弹窗,选择只允许一次,弹窗,选择只允许一次,弹窗,选择只允许一次,样本被隔离,未被加密。

4)样本Princess Locker运行后貌似无动作,等待4分钟依然无动作,文件未被加密。
5)样本TrueCrypter Ransomware需要安装NET.Framework 3.5,为节省时间,跳过测试。

6)样本Rokku ransomware运行后,弹窗,选择只允许一次,样本被隔离,文件未被加密

7)样本Cerber 5.0.1运行后,弹窗,选择只允许一次,弹窗

,选择只允许一次,弹窗,选择只允许一次,,文件被加密,被加密文件扩展名为b4f8 。

4.G Data 无法在我的虚拟机上安装成功,所以无法测试,真遗憾。


5. Dr.Web Security Space:被2个样本加密。

1)样本CockBlocke运行后,弹窗,选择允许一次,但是由于无法与服务器连接,所以无法加密。

2)样本Rokku ransomware运行后,文件被加密,扩展名为rokku,Dr,Web失败。


3)样本Dhrama运行后,Dr.Web拦截。


4)样本Princess Locker运行了2分钟后,Dr.web防火墙弹窗,选择允许一次,等待了2分钟,样本无动作。

5)样本OzozaLocker运行后,防火墙弹窗,选择允许一次,样本被拦截。

6)样本Cerber 5.0.1运行后,防火墙弹窗,选择允许一次,文件立刻被加密,文件拓展名是.b4f8,
      Dr.Web失败。

7)样本TrueCrypter Ransomware需要安装NET.Framework 3.5,为节省时间,跳过测试。


本次测试历经2天,共耗时6小时,测试过程可谓一波三折。现在测试结束,感谢各位观看。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 11经验 +100 分享 +2 魅力 +1 人气 +13 收起 理由
屁颠屁颠 + 100 + 1 16年年度奖励
houtiancheng + 1 测试辛苦,来补人气~
zixulongzhu + 1 原创内容
popu111 + 1 坚定了在下换emsi的心
275751198 + 1 版区有你更精彩: )

查看全部评分

小小瞻
 楼主| 发表于 2016-12-7 12:29:34 | 显示全部楼层
驭龙 发表于 2016-12-7 11:58
我没有测试,不多说,另外蜘蛛的主防需要云。
其他容后再议

如果我的测试有问题,那么大蜘蛛的主防的作用一次都不会有。而事实是样本OzozaLocker和Dhrama都被蜘蛛的主防拦截了,“用户文件的完整性。”所以,这次测试是没有问题的。
驭龙
发表于 2016-12-7 12:50:02 | 显示全部楼层
本帖最后由 驭龙 于 2016-12-7 12:54 编辑
小小瞻 发表于 2016-12-7 12:29
如果我的测试有问题,那么大蜘蛛的主防的作用一次都不会有。而事实是样本OzozaLocker和Dhrama都被蜘蛛的 ...

算了,我不独立发帖了,你自己看吧

我黑寡妇是11月1日的特征库,是旧的,对吧?


关闭Spider Guard文件监控,双击ROKKU样本,样本开始加密和生成勒索信的时候,大蜘蛛DPH杀无赦


图片文件夹部分文件被加密,但剩余了一个图片文件。


因此黑寡妇防ROKKU可以算半成功,或者失败和成功,但只是几个文件被加密,所以不能算完全失败。

接下来是cerber 5.0.1样本,双击被黑寡妇瞬间拦截,没有加密成功
剩余的图片安然无恙,也就是郁金香


两个样本都是被黑寡妇主防杀的,而且是旧特征库,只是rokku加密了一点点文件,但并不是彻底失败。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
linzh
发表于 2016-12-8 02:10:18 | 显示全部楼层
本帖最后由 linzh 于 2016-12-8 02:11 编辑

上次我用旧毒库的蜘蛛测勒索结果被过了,驭龙大大当天的毒库蜘蛛主防却杀了(扫描miss说明并未入库)
甚是玄学,我记得我当时也是开了网络的,我这里不可能连不上蜘蛛的云的(我这里没有墙哦
Dolby123
发表于 2016-12-27 10:11:35 | 显示全部楼层
本帖最后由 Dolby123 于 2016-12-27 10:12 编辑

记得上次用蜘蛛测试cerber结果都是miss ,后来驭龙大哥当天测出DPH 杀,病毒库还是前一个月的 ,过后重启虚拟机,Cerber还真被DPH干掉
有几次上报病毒,客服回复说蜘蛛是可以测到,并指示病毒库更到最新啊什么的,其实当时测病毒已更到最新毒库 所以啊,用蜘蛛的童鞋建议测几遍啊,这玄学的事到现在无法解释清楚
其实是老人
发表于 2016-11-29 22:32:32 | 显示全部楼层
赶上直播了?支持楼主测试。希望插楼不要介意。
rrorr
发表于 2016-11-29 22:40:51 | 显示全部楼层
不管怎样,先前排支持
看我FS的云拉黑大法
追影子的十三
发表于 2016-11-29 22:42:13 来自手机 | 显示全部楼层
本帖最后由 daixiaoran 于 2016-11-29 22:44 编辑

壮哉我大FS,不过,赌一人气,大部分是gemini引擎报的?
辔繇
发表于 2016-11-29 23:13:58 | 显示全部楼层
FS的主防误报太多,不太适合小白和普通用户,非常适合双击党
辔繇
发表于 2016-11-29 23:22:40 | 显示全部楼层
Emsisoft和360杀毒(360 TS,360TSE)也算是BD系比较有名的吧
l378923493
发表于 2016-11-29 23:44:47 | 显示全部楼层
辔繇 发表于 2016-11-29 23:13
FS的主防误报太多,不太适合小白和普通用户,非常适合双击党

还行,反正我给我女朋友装上了。没啥问题
linzh
发表于 2016-11-30 06:20:11 | 显示全部楼层
前排点赞,然而我并不能发人气
支持楼主,话说360ts之流开BD引擎算不算BD系呢,我挺好奇360ts的防勒索能力的
还有管家国际版
hbzhang
发表于 2016-11-30 07:49:21 | 显示全部楼层
不能看,否则我又要换杀软了
墨家小子
发表于 2016-11-30 09:55:06 | 显示全部楼层
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 00:45 , Processed in 0.142869 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表