搜索
查看: 14616|回复: 42
收起左侧

[技术原创] 【第三弹测试热身】Cybereason RansomFree 防勒索测试

  [复制链接]
houtiancheng
发表于 2016-12-31 19:56:47 | 显示全部楼层 |阅读模式
本帖最后由 houtiancheng 于 2016-12-31 19:58 编辑

之前看到Cybereason RansomFree这个软件大显神威,把我的和@popu111的自制勒索都拦截下来了,这是绝无仅有的。
因此,我决定将此软件加入我的第三弹启发和主防测试当中。
第三弹的结果还在测试中,应该会在一月份公布,约有50个样本(主要是勒索和远控)。

作为热身,现在先放出Cybereason RansomFree对抗目前收集勒索样本的测试。


软件下载地址:https://ransomfree.cybereason.com/

样本全部来自卡饭样本区。
测试环境为虚拟机windows 7企业版(英文)。
采用断网测试的方法:Cybereason RansomFree为纯本地防御,不需联网。

结果解读:
B:Behaviour,杀软主防防御成功
M:Miss,杀软未有任何提示,但也没有观察到文件被加密
F:Fail,防御失败,文件被加密

将下一行加粗部分替换为表格中的帖子ID可下载到被测样本:
http://bbs.kafan.cn/thread-2068873-1-1.html

测试结果:
卡饭帖子ID帖子名称子文件名发帖日期类型Cybereason
2068873
#Cerber #Ransom 16.12.132016-12-13 09:09:30RansomwareB
2069207
时隔三天,重新抓到cerber20161215192053RansomwareB
2069342
中了勒索病毒exename.exe20161216154906RansomwareB
2069342
中了勒索病毒radE3CFF.tmp20161216154906RansomwareM
2069342
中了勒索病毒new 3.html20161216154906RansomwareM
2069347
每天cerber系列20161216161202RansomwareB
2069465
勒索病毒20161217174732RansomwareB
2069479
每日cerber20161217191703RansomwareB
2069584
今天的cerber似乎有些变化 20161218190834RansomwareB
2069658
今天cerber加了一个漂亮的图标2016-12-19 12:38:01RansomwareB
2069713
今日cerber之第二弹2016-12-19 19:22:25 RansomwareB
2069759
我也来个cerber2016-12-20 04:55:56RansomwareB
2069778
Cerber Ransom 16.12.202016-12-20 10:35:47RansomwareB
2069804
本日cerber........2016/12/20  13:34:55RansomwareB
2069893
cryptolocker2016-12-21 00:20:31RansomwareM
2069901
每日勒索 2016-12-21 06:27:20RansomwareB
2069966
Cerber 16.12.21 2016-12-21 17:47:37RansomwareF
2070148
nopa2.exe2016-12-23 11:03:03RansomwareM
2070462
rasphone.exe 2016-12-25 17:53:42RansomwareB
2070562
新品種?New Padlock Screenlocker 2016-12-26 13:18:55RansomwareF
2070744
勒索软件家族新成员——BadEncript2016-12-27 18:25:55RansomwareM
2070786
derialock ransom 2016-12-27 23:43:31RansomwareB
2071028
一枚勒索 2016-12-29 20:11:34RansomwareF




ID=2069966的样本防御失败截图:
cybereason-2069966-Fail.JPG


ID=2071028的样本防御失败截图:
cybereason-2071028-Fail.JPG


结论:
根据目前的测试结果,Cybereason RansomFree这个软件对防御勒索还是很厉害的。
虽然被过了三个,但其中一个不是加密勒索,是锁屏,我目前测试的其他杀软很多也防不住。
作为对比,透露一下,经常被提及用来辅杀勒索的HitmanPro.Alert在同样的样本下是7个F和6个M
因此如果你身勒索猖獗区域,那么使用这个软件作为你杀软的辅助是有一定意义的。


评分

参与人数 12分享 +2 人气 +12 收起 理由
屁颠屁颠 + 2 版区有你更精彩: )
ELOHIM + 1 版区有你更精彩: )
fantexihong + 1 版区有你更精彩: )
ericdj + 1 版区有你更精彩: )
pal家族 + 1

查看全部评分

ELOHIM
发表于 2016-12-31 20:19:39 | 显示全部楼层
没有分评了,改日送上。

喜欢这种测试。
楼主辛苦了……   

不知这款软件在反勒索过程中的性能如何?
c68111c
发表于 2016-12-31 20:20:01 | 显示全部楼层
今天剛裝好 就看到你的測試

更加深我的信心

c68111c
发表于 2016-12-31 20:22:02 | 显示全部楼层
ELOHIM 发表于 2016-12-31 20:19
没有分评了,改日送上。

喜欢这种测试。

沒感覺 cpu占用
記憶體大概30m
ELOHIM
发表于 2016-12-31 20:26:28 | 显示全部楼层
本帖最后由 ELOHIM 于 2016-12-31 20:29 编辑
c68111c 发表于 2016-12-31 20:22
沒感覺 cpu占用
記憶體大概30m


感谢解答…………

因为勒索过程本身占用大量资源。所以比较关注反勒索过程的性能问题。
tw28888
发表于 2016-12-31 20:26:47 | 显示全部楼层
試了兩天被過了幾個勒索就撤了。
直接用bd free ,Avg Free,FSCS效果都比它好,用來輔助其他殺軟也不錯
墨家小子
发表于 2016-12-31 20:35:39 | 显示全部楼层
本帖最后由 墨家小子 于 2016-12-31 20:39 编辑

2069966 Cerber 16.12.21                 2016-12-21 17:47:37        Ransomware        F
2071028 一枚勒索                 2016-12-29 20:11:34        Ransomware        F
这2个我这里没看到加密文件啊?

还有这个:http://bbs.kafan.cn/thread-2071230-1-1.html

我觉得上面的都是一类型的,先在一个文件夹内安家落户然后开始行动,但不知道为什么RF没有弹窗拦截,也没用看到加密
墨家小子
发表于 2016-12-31 20:42:35 | 显示全部楼层
tw28888 发表于 2016-12-31 20:26
試了兩天被過了幾個勒索就撤了。
直接用bd free ,Avg Free,FSCS效果都比它好,用來輔助其他殺軟也不錯

那个失败了?
墨家小子
发表于 2016-12-31 20:47:47 | 显示全部楼层
本帖最后由 墨家小子 于 2016-12-31 20:59 编辑

楼主你再试试这个呗
http://att.kafan.cn/forum.php?mo ... DkwNjM2MXwyMDcxMjcx

我这里没能拦截到加密,视频文件刷的一下就被加密了

+++++++++++++++++

确实被加密了,RF拦截不了。跟上面我说的是一个类型的!
诸葛亮
发表于 2016-12-31 21:12:50 | 显示全部楼层
这类反勒索的软件真是雨后春笋般出现!
据说AppCheck AntiRansomware这款也不错,楼主有时间的话也可以测一测看,这个居然还带回滚!
官网https://www.checkmal.com/en/
老外的测试视频链接https://malwaretips.com/threads/appcheck-antiransomware.67031/
看他测试的,感觉还不错。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-20 13:54 , Processed in 0.059631 second(s), 7 queries , MemCached On.

快速回复 返回顶部 返回列表