查看: 51735|回复: 327
收起左侧

[讨论] Java自制勒索样本测试

  [复制链接]
温馨小屋
头像被屏蔽
发表于 2021-2-24 00:46:17 | 显示全部楼层 |阅读模式
本帖最后由 温馨小屋 于 2021-3-6 18:44 编辑

半个月前做了一个卡巴主防测试,老有人说脱离实际,这下自己写一个勒索模拟新病毒,这下总能接近实际了吧

4年前大佬们做过类似测试,似乎结果很惨,不知道现在杀软有没有进步

样本用Java写的,在安装JRE之后双击jar包即可运行,之前样本区见过少量jar包病毒,不知道是不是比编译成exe更能迷惑杀软。

动作能少则少,先生成一个勒索信放桌面,文件以1024为长度单位做AES128位加密,C盘全盘遍历进行加密,这次是先生成加密文件,之后再删掉被加密文件的模式,应该被杀率高一些,毕竟标准勒索模式,过一段再尝试一下直接回写原文件的那种加密方式,我记得当时这种方式直接过了卡巴



入库情况

24日下午:
C盘全盘全盘加密样本VT: 0/60

https://www.virustotal.com/gui/f ... 798b6f719/detection

仅加密User目录样本VT:0/60
https://www.virustotal.com/gui/f ... 80a56a6f7/detection

25日中午,卡巴UDS拉黑,360入库。


25日晚,Dr.Web入库:Java.Encoder.11,不过只入库了加密全盘的,加密User的没入库。
卡巴已经启发入库,程序小改已经过不了扫描了。HEUR:Trojan-Ransom.Java.Agent.gen

突然发现我把这句调试用的输出删掉就不启发了,果然启发还是不靠谱


26日中午,BD入库,Mcafee月神杀

删掉调试输出之后,基本只有BD报毒,蜘蛛和卡巴看起来都没找对特征



结果总结,红色为防御成功

Norton Security
被加密
Kaspersky Internet Security
主防拦截
McAfee Endpoint Security 被加密
ESET Inetrnet Security
被加密
Windows Defender 被加密 程序版本稍老
Bitdefender Total Security 被加密
Avast Premium Security 被加密
火绒安全软件
被加密
F-Secure SAFE
被加密保护文件夹无效
趋势繁体中文版 被加密保护文件夹无效
G-DATA Total Security
被加密
360安全卫士 被加密 开启勒索赔偿模式
瑞星之剑 诱饵杀
金山毒霸 被加密 开启勒索诱捕
Emsisoft Anti-Malware 主防拦截
ZoneAlarm Anti-Ransomware 被加密
智量 诱饵杀
Malwarebytes Premium 被加密
HitmanPro.Alert 成功拦截
Sophos Home Premiue 成功拦截 但未能结束进程
Dr.Web 成功拦截 只加密User文件夹则不杀
Symantec Endpoint Protection 被加密
Avira Internet Security
被加密
AppCheck 成功拦截
Comodo Internet Security
入沙
Bitdefender Endpoint Security
被加密
AVG Anti-Virus Free Edition 被加密保护文件夹无效
微点 被加密 开增强和勒索诱捕
Panda Free Antivirus
被加密
ZoneAlarm Extreme Security 主防拦截

腾讯电脑管家                        
被加密                                         
SecureAPlus 被加密

1:诺顿,被加密,DP无反应

2:卡巴,主防杀,并无回滚,可能因为还没加密多少文件。


卡巴在我实机调试的时候就已经杀过一次了,当时设置的加密目录是我的Ramdisk[:08:]

3:MES,默认选项,更新最新,被加密

4:ESET,完蛋

5:WD,无反应,不过我这个是LTSC自带WD,可能版本过老。

6:BDTS,被加密,ATD无反应

7:Avast,无反应,被加密

8:火绒,完蛋

9:F-Secure个人版,被加密,功能里专门写的受保护文件夹不知道干什么吃的,还是被加密。

10:趋势繁体中文版,被加密,勒索保护文件夹也是无效,全部加密。而且趋势上来就误杀了一堆桌面的东西[:08:]

11:G-DATA,这个最离谱,病毒库都被加密了,几分钟前刚更新完的,现在上次更新日期已经不见了。

12:360卫士国内版,开启勒索先赔模式,被加密

13:瑞星之剑,上来就加密了诱饵,直接被干掉

不过瑞星之剑把我java弄坏了,我只加密桌面试试,看看能不能绕过诱饵

原来桌面也有诱饵文件,虽然加密了一大堆东西,但好在桌面文件都没受影响。

14:金山娱霸,我记得是这么多杀软里唯一一个自家快捷方式都被加密的杀软,设置里有个开启勒索诱捕,开启后依然被加密。

15:Emsisoft,比卡巴杀的还快,就加密了2个文件

16:zonealarm anti-ransomware,完蛋,进程不少,毫无反应

17:智量,根目录文件诱饵杀,改成只加密Users文件夹之后触发我的文档里的诱饵,桌面被加密的文件都被恢复


18:Malwarebytes,失败。这是很奇特的一款杀软,虽然他没有能防住,但是他给了用户反应时间。它的性能优化太差,其他杀软被加密时加密程序以130MB/s的速度加密,但是因为mb的扫描,加密速度仅为6-10MB/s,而且mb的CPU占用是加密程序的好几倍,内存占用一直在波动,最高达到了1.7GB的单进程内存占用。

19:HitmanPro.Alert,成功拦截,文件未受损失

20:Sophos Home Premiue,提示阻止,但未能结束对应进程,勒索程序一直遍历完所有文件才停,桌面文件未损失。
骚护士使用体验极差,点啥都开网页看,不注册账号连日志都看不了[:08:]

21:Dr.Web,全盘加密的话加密一半就杀了,还没加密到桌面,杀的时候顺便把java也给删除了[:08:]
如果只加密用户文件夹的话,miss了,桌面文件全部被加密。


22:有人问的SEP,看起来性能真不错,加密速度全程都在100MB/s以上,平均速度应该是这些杀软里最快的了[:01:]

23:Avira,GG,实时监控显著影响加密速度

24:AppCheck,反勒索杀并且回滚所有文件,连TXT也滚了。来自761773275大佬测试。

25:Comodo,惨遭入沙

26:BD企业版,被加密

27:AVG免费版,又一个摆设勒索保护,自己快捷方式都被加密了

28:微点免费版,被加密,开启增强模式和勒索诱捕,依然无效。


29:Panda免费版,似乎收费版才有勒索保护[:08:]

30:ZoneAlarmExtreme Security,成功拦截,就是UI有点反胃

31:腾讯电脑管家,看起来性能比较差,加密桌面之前的速度峰值只有40MB/s,比那几个国外大厂的速度低了很多[:08:]

32:SecureAPlus,被加密

样本在此[:01:]
https://bbs.kafan.cn/thread-2202703-1-1.html

开虚拟机做测试,SSD写了800+GB

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 50分享 +3 魅力 +2 人气 +149 收起 理由
2483883670 + 3 版区有你更精彩: )
BBCALL + 1 很给力!
wzhyhw + 3 老哥,辛苦了
suboboo + 3 版区有你更精彩: )
浮生若梦er + 3 版区有你更精彩: )

查看全部评分

qw8462
发表于 2021-2-24 01:12:37 | 显示全部楼层
本帖最后由 qw8462 于 2021-2-24 21:37 编辑

SEP如何?还有瑞星ESM3.0版开瑞星之剑防勒索功能也可以测试下

结果出来了,看来SEP的性能不错,完全不影响其它软件的性能。同时瑞星之剑防勒索还是很强大的
諾言敵不過時間
发表于 2021-2-24 01:22:54 | 显示全部楼层
目前看來防毒完敗啊..
好奇一下
趨勢有開高安全性跟勒索剋星嗎?
KevinYu0504
发表于 2021-2-24 02:28:52 | 显示全部楼层
本帖最后由 KevinYu0504 于 2021-2-24 02:50 编辑

BD 的 ATD ,趋势的勒索防护夹都翻车,
倒是有些让人感到意外 ~


楼主若方便,希望能测试看看
Emsisoft、Malwarebytes 甚至 HitmanPro.Alert  ~
欧阳宣
头像被屏蔽
发表于 2021-2-24 02:58:31 | 显示全部楼层
本帖最后由 欧阳宣 于 2021-2-24 03:02 编辑

可以可以。牛逼。
能M我样本么?我去试试BD的完全体
dongwenqi
发表于 2021-2-24 07:55:29 | 显示全部楼层
看来还是卡巴斯基不错
munsimli
发表于 2021-2-24 08:49:22 来自手机 | 显示全部楼层
本帖最后由 munsimli 于 2021-2-25 00:01 编辑

F-Secure的勒索防護似乎是擺設,之前petr0vic大佬放上來的一系列勒索樣本與其他版友提供的powershell的勒索樣本都是短時間內被加密,DG與勒索防護連個屁都不吭一聲

企稳向好
发表于 2021-2-24 08:59:53 | 显示全部楼层
本帖最后由 企稳向好 于 2021-2-24 09:02 编辑

快一年过去了,BD家庭版的ATD在这方面(以及MBR保护)似乎并没有什么长进看起来卡巴的SW则加强了对此类样本的检测
https://bbs.kafan.cn/thread-2174774-1-1.html
ly9327
发表于 2021-2-24 09:26:29 | 显示全部楼层
大佬牛批,测测毒霸和瑞星呗,瑞星不是一直说瑞星之剑很牛吗
dg1vg4
发表于 2021-2-24 09:35:18 | 显示全部楼层
那个,瑞星之剑虽然名义上收费,但是实际上,就算你不输序列号,瑞星之剑依然在保护你,就是租子催得紧。可以测试。

瑞星之剑这一套防御是带有回传功能的,用以确认自己拦截的到底是误报还是真威胁,如果你是在联网环境下测试的话,估计样本已经……


评分

参与人数 1人气 +1 收起 理由
ly9327 + 1 感谢提供分享

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 03:29 , Processed in 0.133720 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表