BD系杀软双击测试—对抗勒索病毒【附送Dr.Web测试】

小小瞻

测试说明
           操作系统： Windows 10 1607 64位
           样本来源：http://bbs.kafan.cn/thread-2047950-31-1.html【Bitdefender与各种各样千奇百怪的勒索软件的对抗测试（附部分勒软的解密工具）】（感谢@230f4 提供样本）
           样本名称：CockBlocker，TrueCrypter，Princess Locker，Dharma，OzozaLocker，Cerber 5.0.1，Rokku
           测试方法：全程联网，关闭被测试安全软件的实时监控，默认设置
           参测安全软件：FSCS 12.20，G Data Internet Security , BullGuard Internet Security 17.0 ，Emsisoft Internet Security 12.0 ，Dr.Web Space Security

测试结果
1.FSCS12.20：100%，未被加密

















2.BullGuard Internet Security 17.0：被2个样本加密。
意外收获，BullGuard 已经更新到17版了，2个月前还是16版。
样本CockBlocker由于无法连接服务器，所以它没有加密成功。






样本TrueCrypter Ransomware需要安装NET.FRAME3.5，但是我时间有限，所以跳过。未测试。
样本Rokku ransomware加密成功，感染后文档拓展名变为.rokku，Bullguard失败。




样本Dharma被BullGuard拦截，未加密。





样本Princess Locker双击后无反应，未加密。
样本OzozaLocker双击后似乎遇到了问题，只在桌面上留下了一个让我交赎金的TXT文档，未加密。



样本Cerber 5.0.1加密成功，感染后文件拓展名变为.9958，BullGuard失败。




3.Emsisoft Internet Security：Emsisoft拦截率取决于用户如何处理Emsisoft的弹窗提示，如果全部选择只允许一次，则用户会被2个样本加密；如果选择隔离，则不会被加密。相较于Bitdefender的ATC，Emsisoft的HIPS效果还是差点，毕竟面对HIPS的弹窗，更多的人会不知道如何选择。

1）样本CockBlocker无法连接到服务器，无法加密。

2）样本Dharma在运行后，Emsisoft弹窗提示，选择只允许一次，再弹窗，选择只允许一次，样本被隔离，但是文档还是被加密了，扩展名变为dhrama。。


3）样本OzozaLocker运行后，弹窗，选择只允许一次，弹窗，选择只允许一次，弹窗，选择只允许一次，样本被隔离，未被加密。

4）样本Princess Locker运行后貌似无动作，等待4分钟依然无动作，文件未被加密。
5）样本TrueCrypter Ransomware需要安装NET.Framework 3.5，为节省时间，跳过测试。

6）样本Rokku ransomware运行后，弹窗，选择只允许一次，样本被隔离，文件未被加密

7）样本Cerber 5.0.1运行后，弹窗，选择只允许一次，弹窗

，选择只允许一次，弹窗，选择只允许一次，，文件被加密，被加密文件扩展名为b4f8 。

4.G Data 无法在我的虚拟机上安装成功，所以无法测试，真遗憾。


5. Dr.Web Security Space：被2个样本加密。

1）样本CockBlocke运行后，弹窗，选择允许一次，但是由于无法与服务器连接，所以无法加密。

2）样本Rokku ransomware运行后，文件被加密，扩展名为rokku，Dr,Web失败。


3）样本Dhrama运行后，Dr.Web拦截。


4）样本Princess Locker运行了2分钟后，Dr.web防火墙弹窗，选择允许一次，等待了2分钟，样本无动作。

5）样本OzozaLocker运行后，防火墙弹窗，选择允许一次，样本被拦截。

6）样本Cerber 5.0.1运行后，防火墙弹窗，选择允许一次，文件立刻被加密，文件拓展名是.b4f8，
      Dr.Web失败。

7）样本TrueCrypter Ransomware需要安装NET.Framework 3.5，为节省时间，跳过测试。


本次测试历经2天，共耗时6小时，测试过程可谓一波三折。现在测试结束，感谢各位观看。

小小瞻

驭龙 发表于 2016-12-7 11:58
我没有测试，不多说，另外蜘蛛的主防需要云。
其他容后再议

如果我的测试有问题，那么大蜘蛛的主防的作用一次都不会有。而事实是样本OzozaLocker和Dhrama都被蜘蛛的主防拦截了，“用户文件的完整性。”所以，这次测试是没有问题的。

驭龙

小小瞻 发表于 2016-12-7 12:29
如果我的测试有问题，那么大蜘蛛的主防的作用一次都不会有。而事实是样本OzozaLocker和Dhrama都被蜘蛛的 ...

算了，我不独立发帖了，你自己看吧

我黑寡妇是11月1日的特征库，是旧的，对吧？


关闭Spider Guard文件监控，双击ROKKU样本，样本开始加密和生成勒索信的时候，大蜘蛛DPH杀无赦


图片文件夹部分文件被加密，但剩余了一个图片文件。


因此黑寡妇防ROKKU可以算半成功，或者失败和成功，但只是几个文件被加密，所以不能算完全失败。

接下来是cerber 5.0.1样本，双击被黑寡妇瞬间拦截，没有加密成功
剩余的图片安然无恙，也就是郁金香


两个样本都是被黑寡妇主防杀的，而且是旧特征库，只是rokku加密了一点点文件，但并不是彻底失败。

linzh

上次我用旧毒库的蜘蛛测勒索结果被过了，驭龙大大当天的毒库蜘蛛主防却杀了（扫描miss说明并未入库）
甚是玄学，我记得我当时也是开了网络的，我这里不可能连不上蜘蛛的云的（我这里没有墙哦 ）

Dolby123

记得上次用蜘蛛测试cerber结果都是miss ，后来驭龙大哥当天测出DPH 杀，病毒库还是前一个月的 ，过后重启虚拟机，Cerber还真被DPH干掉
有几次上报病毒，客服回复说蜘蛛是可以测到，并指示病毒库更到最新啊什么的，其实当时测病毒已更到最新毒库 所以啊，用蜘蛛的童鞋建议测几遍啊，这玄学的事到现在无法解释清楚

其实是老人

赶上直播了？支持楼主测试。希望插楼不要介意。

rrorr

不管怎样，先前排支持
看我FS的云拉黑大法

追影子的十三

壮哉我大FS，不过，赌一人气，大部分是gemini引擎报的？

辔繇

FS的主防误报太多，不太适合小白和普通用户，非常适合双击党

辔繇

Emsisoft和360杀毒（360 TS，360TSE）也算是BD系比较有名的吧

l378923493

辔繇 发表于 2016-11-29 23:13
FS的主防误报太多，不太适合小白和普通用户，非常适合双击党

还行，反正我给我女朋友装上了。没啥问题

linzh

前排点赞，然而我并不能发人气
支持楼主，话说360ts之流开BD引擎算不算BD系呢，我挺好奇360ts的防勒索能力的
还有管家国际版

hbzhang

不能看，否则我又要换杀软了。

墨家小子

求测试这一只https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwyMDY3Mjcy