【新增微点】10大杀软本地主防测试—对抗勒索软件【参测杀软中含无本地主防的杀软】

小小瞻

测试说明：
       操作系统：Windows 10 1607 64位
       测试方法：由于此次是测试杀软的本地主防能力，所以全程断网（为了排除信誉），同时要求被测试样本无法被杀软扫描检测出，被杀软扫描检测出的样本就不再双击运行了（为了排除特征码和启发），参测杀软均为默认设置    
       样本名称：MRCR1，VirLock，DeriaLock，Virus-Encoder，AdamLocker，Slimhem，Sage
       样本来源：bbs.kafan.cn/thread-2047950-33-1.html【Bitdefender与各种各样千奇百怪的勒索软件的对抗测试】@230f4              
       参测杀软：FSCS，Norton Security，卡巴斯基安全软件，趋势科技云安全软件全功能增强版，360杀毒，Bitdefender Total Security，费尔智能杀毒8，Emsisoft Internet Security，ESET Smart Security
       测试目的：此次测试的目的和AV-C官方的启发/行为拦截测试目的是相同的，即为了检测杀软应付未知的恶意文件的防御能力

Heuristic / Behaviour Tests，The retrospective tests evaluate the products against new and unknown malware to measure the proactive protection capabilities (e.g. through heuristics, generic signatures, etc.). This test also takes into consideration the false positive rate. Starting from 2012, the remaining malicious files are also being executed, so that the proactive protection provided by e.g. behaviour blockers is evaluated.

AV-C官方对于测试中断网的理由以及对于云的看法：
                     


测试结果：   
（一）F-Secure Client Security：被3个样本加密。
1）样本MRCR1双击运行后，FSCS没有任何提示，等待3分钟左右，文件被加密，防御失败。




2）样本VirLock双击运行后，ＤeepGuard阻止，防御成功。

3）样本DeriaLock双击运行后，FSCS无任何提示，文件瞬间被加密，防御失败。



4）样本Virus-Encoder双击运行后，DeepGuard阻止，防御成功。




5）样本AdamLocker双击运行后，FSCS无提示，文件被加密，防御失败。


6）样本Slimhem双击运行后，DeepGuard阻止，防御成功。




7）样本Sage双击运行后，FSCS弹窗提示，选择允许，由于是断网测试，所以无法加密。


（二）Norton Security：被4个样本加密。

1)样本MRCR1双击运行后，文件被加密，随后Sonar删除样本，防御失败。




2）样本VirLock，Norton已经入库，故不测试。


3）样本DeriaLock双击运行，文件被加密，Norton无提示，防御失败。




4）样本Virus-Encoder双击运行后，Norton无任何提示，文件被加密，防御失败。





5）样本AdamLocker双击运行后，Norton无任何提示，文件被加密，防御失败。




6）样本Slimhem双击运行后，Sonar隔离样本，文件未被加密，防御成功。




7）样本Sage，被Norton的启发删除了，故不测试。



（三）卡巴斯基安全软件：被2个样本加密。
1）样本MRCR1双击运行后，卡巴斯基删除样本并对样本的操作进行了回滚，文件未被加密，防御成功。




2）样本VirLock，卡巴斯基已经入库，故不测试。


3）样本DeriaLock双击运行后，卡巴斯基无任何提示，文件被加密，防御失败。


4）样本Virus-Encoder，卡巴斯基已经入库，故不测试。


5）样本AdamLocker双击运行后，卡巴斯基无任何提示，文件被加密，防御失败。




6）样本Slimhem双击运行后，卡巴斯基删除样本并对样本的操作进行了回滚，文件未被加密，防御成功。




7）样本Sage双击运行后，样本无加密行为，卡巴斯基无任何提示，等待2分钟后，依然如此。

小小瞻

（四）趋势科技云安全软件全功能增强版（未开启文件夹护盾）： 被4个样本加密。
作为一款以云保护为宣传标语的杀软，我知道断网对它的伤害有多大，如果大家有不满怎么办？憋着呗！

1）样本MRCR1双击运行后，等待4分钟，文件被加密，防御失败。






2）样本VirLock双击运行后，等待了4分钟，未见有加密行为，趋势科技也未有提示。


3）样本DeriaLock双击运行后，文件被加密，防御失败。



4）样本Virus-Encoder双击运行后，趋势科技拦截，防御成功。




5）样本AdamLocker双击运行后，文件被加密，防御失败。




6）样本Slimhem双击运行后，趋势科技拦截，防御成功。



7）样本Sage双击运行后，文件被加密，防御失败。


   

小小瞻

（五）360杀毒 64位版：被3个样本加密。从测试里看，360杀毒本地几乎可以说没有HIPS，更不要说有主防了。
1）样本MRCR1双击运行后，360无任何提示，文件被加密，防御失败。




2）样本VirLock，360已经入库，故不测试。


3）样本DeriaLock双击运行后，360无任何提示，文件被加密，防御失败。




4）样本Virus-Encoder，360已经入库，故不测试。


5）样本AdamLocker双击运行后，360无任何提示，文件被加密，防御失败。




6）样本Slimhem双击运行后，等待了4分钟，未见有加密行为，360也无任何提示。


7）样本Sage，360已经入库，故不测试。

小小瞻

（六）Bitdefender Total Security：被1个样本加密。BD真不愧为BD


1）样本MRCR1双击运行后，BD的ATC拦截并删除了样本，防御成功。




2）样本VirLock，BD已经入库，故不测试。


3）样本DeriaLock双击运行后，文件被加密，防御失败。



4）样本Virus-Encoder，BD已经入库，故不测试。




5）样本AdamLocker双击运行后，BD的ATC拦截并删除，防御成功。




6）样本Slimhem双击运行后，BD的ATC拦截并删除，防御成功。




7）样本Sage双击运行后，BD的ATC拦截并删除，防御成功。

小小瞻

（七）费尔智能杀毒8：被2个样本加密。费尔拥有HIPS模块和主防模块，个人认为“费尔动态防御”弹窗才是主防起作用的体现，其他警报弹窗属于HIPS。

1）样本MRCR1双击运行后，文件被加密，然后费尔弹窗提示，选择修复和清除，删除一个病毒衍生物。防御失败。




2）样本VirLock，费尔入库（还是启发？），故不测试。




3）样本DeriaLock双击运行后，文件被加密，费尔无任何提示，防御失败。




4）样本Virus-Encoder双击运行后，费尔弹窗，选择修复，样本被隔离，防御成功。




5）样本AdamLocker双击运行后，费尔弹窗，选择清除，系统蓝屏需要重启，重启后文件未被加密，样本未被删除。再次双击，选择清除，系统再一次蓝屏需要重启，重启后文件未被加密，样本未被删除。防御成功。




6）样本Slimhem双击运行后，费尔弹窗，选择清除，样本被删除，防御成功。@猪头无双




7）样本Sage双击运行后，等待了10分钟，仍未见加密，费尔亦未有任何提示。

小小瞻

（八）Emsisoft Internet Security：Emsisoft拦截率取决于用户如何处理Emsisoft的弹窗提示，如果全部选择只允许一次，则用户会被4个样本加密；如果全部选择隔离，则不会被加密。所以，我更愿意将 Emsisoft 这个模块称之为HIPS而不是主防。

1）样本MRCR1双击运行后，Emsisoft 弹窗四次，每次都选择只允许一次，文件部分被加密，防御失败。




2）样本VirLock，Emsisoft 已经入库，故不测试。


3）样本DeriaLock双击运行后，Emsisoft 弹窗2次，每次都选择只允许一次，文件部分被加密，防御失败。




4）样本Virus-Encoder，Emsisoft 已经入库，故不测试。


5）样本AdamLocker双击运行后，Emsisoft 弹窗2次，每次都选择只允许一次，文件被加密，防御失败。


6）样本Slimhem双击运行后，Emsisoft 弹窗4次，每次都选择只允许一次，等待了2分钟仍未见加密。



7）样本Sage双击运行后，Emsisoft 弹窗 7 次，每次都选择只允许一次，文件被加密，防御失败。

小小瞻

(九）ESET Smart Security：被3个样本加密。      
ESET作为一款启发优秀、没有主防的杀软，面对恶意软件，靠特征码、启发和云来抵御，这显然是不够的。另外，ESET的HIPS在默认设置下亦形同虚设。


1）样本MRCR1双击运行后，文件被加密，ESET未有任何提示，防御失败。




2）样本VirLock，ESET已经入库，故不测试。


3）样本DeriaLock双击运行后，ESET未有任何提示，文件被加密，防御失败。




4）样本Virus-Encoder，ESET 已经入库，故不测试。


5）样本AdamLocker双击运行后，文件被加密，ESET未有任何提示，防御失败。




6）样本Slimhem，ESET已经入库，故不测试。


7）样本Sage，ESET已经入库，故不测试。

小小瞻

( 十）微点主动防御软件：没有被样本加密
        微点的这个测试是由@a445441进行的，下面的文字描述以及图片亦由其提供，在这里表示感谢。
        操作系统：Windows  XP


1)MRCR1: 样本运行后提示联网放行后，等了几分钟没有反应，文件也没有被加密




2）样本Virlock：拦截成功 （笔者注：这个样本被微点启发检测出了）




3）DeriaLock：运行后报错，不是有效WIN32位程序




4）样本virus-encoder ransomware：拦截成功




5）样本AdamLocker：拦截成功




6）Slimhem：样本运行后提示联网放行，等了几分钟没有反应，文件也没有被加密




7）Sage：拦截成功

zfc234

所以这个测试告诉我们面对层出不穷日新月异的勒索，给力的云端和信誉是很重要的，它们能够在病毒库和本地主防失效的情况下给予最大程度的保护，虽然它们有可能不能断定文件是否存在威胁，但是可以提供用户更多一层的询问和操作空间。

小小瞻

zfc234 发表于 2017-1-4 22:14
所以这个测试告诉我们面对层出不穷日新月异的勒索，给力的云端和信誉是很重要的，它们能够在病毒库和本地主 ...

做这个测试，我只想单纯地比较一下各大杀软本地主防能力的高低。面对最新的病毒木马，特征码以及云和信誉是无力的，守住电脑安全的最后一道防线是主防，所以主防的强弱至关重要。

pal家族

前排支持。
目前我对卡巴很不满的是没有一个便捷的添加勒索保护区域的功能，得去HIPS慢慢添加，在调试程序分组，很麻烦。
毛豆的自动入沙很讨人喜欢。

即是主防再强，也有漏网之鱼，更别提特征码了。
云响应如果能更快，就能减少受害者。。。

当然，First victim，，，总是有的。很无奈。

小小瞻

pal家族 发表于 2017-1-4 22:30
前排支持。
目前我对卡巴很不满的是没有一个便捷的添加勒索保护区域的功能，得去HIPS慢慢添加，在调试程序 ...

此次测试就是模拟勒索病毒的第一个受害者能否免遭其害，第一个受害者靠什么，只能靠主防和启发。

347636681

小小瞻 发表于 2017-1-4 22:35
对，此次测试就是模拟勒索病毒的第一个受害者能否免遭其害，第一个受害者靠什么，只能靠主防和启发。

支持一下楼主，辛苦了

RUAOT

支持一下，加上这个版块里前几个个人测试，看起来卡巴斯基还不错啊，虽然自己不会hips，但是日常肯定是绰绰有余的。

pal家族

小小瞻 发表于 2017-1-4 22:35
对，此次测试就是模拟勒索病毒的第一个受害者能否免遭其害，第一个受害者靠什么，只能靠主防和启发。

或许第一个受害者永远无法避免，但如果云响应能更快点，牺牲就会少点。
感觉，目前大部分杀软厂商们投入更多的精力，都是避免第N个受害者出现。。。。。