【评测】5月19号样本断网不更新+联网国产杀软对抗5月19日比特币病毒

ikochina

系统：Ghost Win7 SP1 遐想网络 纯净驱动版 V17.3 X86
虚拟系统环境：4g内存，60g硬盘
样本1：http://bbs.kafan.cn/thread-2088953-1-1.html，5月12日样本，比特币勒索者2.0
样本2：http://bbs.kafan.cn/thread-2090132-1-1.html，5月19日样本，看下面跟帖的好多miss的
杀软说明：
使用官网最新版客户端（费尔比较吃亏，主程序和病毒库还是14年的啊）。昨天的测试中，2345卫士和微点杀毒昨天的测试中全军覆没，有人说本来就弱，所以今天就直接不测了，今天加上百度卫士为了模拟真实的使用环境，所以如下：
1、360卫士离线救灾版11.2.0.2023+360杀毒增强安装版5.0.0.8023（因为用360的好多都是全家桶，这里就占点便宜了）
2、金山毒霸11 170516离线包
3、电脑管家12.5.18754.212
4、瑞星2017 24.17.01.55
5、火绒4.0.22.1包含扩展工具完整版
6、江民速智16.0.13.301
7、费尔8.17
8、微点主防170515.2.0.20266.0146（微点杀毒昨天的测试中全军覆没，有人说本来就弱，所以今天就不测了）
9、百度杀毒3.0.4605+百度卫士8.0.0.8001（同样全家桶）
【说明】
1、离线测试是从安装开始就离线不联网，测试包括扫描和双击两个部分。
2、而在线测试中样本1昨天已经测试，除开百度没测，其他都测了，所以今天的在线测试主要未样本2这个最新的样本测试，只有百度加上样本1的测试。
3、另外所有杀软都保持默认设置，未自动开启的引擎也不会手动开启，因为我们生活中很多小白根本不会关注这个引擎是什么玩意儿，有什么作用。
4、在离线测试中完美拦截的火绒和微点主防不再次在线测试
【样本2简要分析】
1、文件：
（1）主要在临时文件夹、系统文件夹system32（系统文件夹下主要是生成大量的dll挂载到进程中）下创建大量衍生体，并首先针对杀毒软件进行加密；
（2）在虚拟环境中发现好压、wps等都正常运行，但是几分钟后，则大量正常程序不能打开，所以这个样本是首先加密常见杀软，然后加密其他应用，我在用systracer的时候意外发现该病毒并未加密该软件，但配置文件.cfg和txt文档被加密了；
（3）20分钟后，发现系统大部分文件不能正常运行，均被加密，就目前来看加密类型有：txt、office、exe、rar、zip、cfg、bat、dll、chm、inf、cat、data、msu等等；
2、注册表：增加100多项注册表信息，大多未注册dll文件的，修改删除部分注册表项从而达到隐藏的目的
3、加密：这个病毒加密速度没有样本1快，在我们中招的时候基本上无声无息，但差不多10分钟后就开始将大量的文件进行加密未后缀cyrpt，而且还打不开，但在该文件夹下生成一个how_to_back_files.html的网页，网页打开如下

大家还会觉得这个样本没啥威胁吗？其实开始我没分析之前也这样觉得的，对比下样本1和2：
1、样本1很凶猛，中毒几秒钟就可以很容易看到效果，而且专加密一些文本、office、压缩文件等；
2、样本1的可视化弹窗更有紧迫感，恐吓感十足，而且关闭后几十秒钟重启下这个窗口，替换桌面背景等都能看出来这个想哭2.0很嚣张；
3、样本2很温柔，中毒要几分钟到十来分钟才看得出效果，它首先干掉杀软安装包和杀软进程；
4、样本2加密文件类型很广泛，绝大多数文件都加密，而且加密的文件不能打开，这一点上就没样本1人性化了，解密难道是批处理解密？
5、样本2隐秘性更好，但被加密的文件如果你不注意到文件夹下的那个how_to_back_files.html网页，你将无所适从，所以啊，人性化上还是差了点，你还怎么骗比特币呢？
6、从加密来说，样本2加密文件很慢，能感觉到加密强度很高，我尝试着打开杀软安装包（不安装，只占进程），发现安装包未被加密，打开的安装包也未被结束进程，10分钟后依然如此，桌面的文档也未被加密，我重启提示一个cmd正在运行，关闭计算机出错，强制结束后重启正常，重启后发现桌面的文本和快捷方式被加密了，开始打开的两个安装包未被加密，360运行正常，未被加密，感觉重启后该病毒未能启动继续加密啊
离线不更新总结

在线最新总结

ikochina

1、离线篇360全家桶

版本

扫描360杀毒报毒样本2，360卫士无反应

双击无反应，中招，虚拟机崩溃
2、毒霸

版本

扫描

双击：样本2无反应，样本1拦截

虽然中招，文件未被加密

ikochina

3、离线篇电脑管家

版本

扫描正常

双击中招无提示，但文件为被加密，也未跳出弹窗很奇怪，于是我恢复快照再试了一次，结果一样
4、离线篇瑞星2017

版本

扫描正常

运行样本2无提示，样本1成功拦截未加密，母体和1个衍生体未删除

样本2不能删除

ikochina

5、离线篇火绒

版本

扫描查到

样本1成功拦截

样本2成功拦截

完美防御，母体删除，无任何衍生体产生
后来在网上找到4.0.19.1版本，我们试试这个4月的版本效果如何

版本

扫描干掉了样本2，这个有点意外

运行样本1到结束的时候跳出来了，但已经没用了

6、离线篇江民

版本

扫描

中招，全程无任何提示

ikochina

7、离线篇费尔

版本

扫描

样本2miss，样本1拦截

清除（有点延迟），把已加密文件、母体、衍生体均删除掉了

在隔离中恢复文件，发现打开已经是乱码了，防御本次感染失败，但把毒全部清理了，避免了二次损失
8、微点主防

装好后重启，刷新桌面就发现样本1啦

版本

样本2扫描
完美啊，比火绒都完美的防御

逍遥小王子

使用联网（云引擎）测试（因为绝大多数的人没几个是不联网使用的）
测试的时候删除病毒库就行了
http://bbs.kafan.cn/thread-2089815-1-1.html

ikochina

9、离线篇百度全家桶

版本

扫描，百度卫士因为没联网还不能选择扫描，吐槽一个

中招，文件被加密
小结：因为大部分杀软版本和病毒库都比较老，未能查杀在意料之中，比较意外的是费尔对样本1的查杀，并不稳定，昨天测试了在xp下可以查杀，且未加密文件，在win7下是两个样啊，所以建议用xp系统的朋友呢，可以考虑费尔，win7下没联网和更新病毒库估计哪个都不保险，相对来说费尔病毒库最老，能够避免二次感染，有一定效果，但已经被加密的文件也找不回来了。同时发现比特币勒索病毒是通过先加密，然后统一删除源文件的方式，所以大家发现中毒后不要慌，不要动电脑任何文件，用光盘或优盘进入pe下运行数据恢复软件看能否恢复正常文件，理论上恢复几率还是比较大的，前提是没动过任何文件

ikochina

1、在线篇360全家桶

版本，更新完毕，刷新桌面即报样本1，反应不错

扫描样本2安全

双击样本2阻止

样本2母体未删除
2、在线篇毒霸

版本

扫描查样本1，2无视

双击样本2无视

ylmfhhh

辛苦了，楼主再来一波

ikochina

3、在线篇管家

版本

扫描完美


双击完美
4、在线篇瑞星17

版本更新，卡再99%

关闭窗口再次更新提示最新，但右键扫描和自定义扫描均没反应，只好恢复离线快照再次更新

终于升级完成

扫描杀样本1

双击样本2无提示