Java自制勒索样本测试

温馨小屋

半个月前做了一个卡巴主防测试，老有人说脱离实际，这下自己写一个勒索模拟新病毒，这下总能接近实际了吧

4年前大佬们做过类似测试，似乎结果很惨，不知道现在杀软有没有进步

样本用Java写的，在安装JRE之后双击jar包即可运行，之前样本区见过少量jar包病毒，不知道是不是比编译成exe更能迷惑杀软。

动作能少则少，先生成一个勒索信放桌面，文件以1024为长度单位做AES128位加密，C盘全盘遍历进行加密，这次是先生成加密文件，之后再删掉被加密文件的模式，应该被杀率高一些，毕竟标准勒索模式，过一段再尝试一下直接回写原文件的那种加密方式，我记得当时这种方式直接过了卡巴



入库情况

24日下午：
C盘全盘全盘加密样本VT： 0/60

https://www.virustotal.com/gui/f ... 798b6f719/detection

仅加密User目录样本VT：0/60
https://www.virustotal.com/gui/f ... 80a56a6f7/detection

25日中午，卡巴UDS拉黑，360入库。


25日晚，Dr.Web入库：Java.Encoder.11，不过只入库了加密全盘的，加密User的没入库。
卡巴已经启发入库，程序小改已经过不了扫描了。HEUR:Trojan-Ransom.Java.Agent.gen

突然发现我把这句调试用的输出删掉就不启发了，果然启发还是不靠谱


26日中午，BD入库，Mcafee月神杀

删掉调试输出之后，基本只有BD报毒，蜘蛛和卡巴看起来都没找对特征



结果总结，红色为防御成功

Norton Security	被加密
Kaspersky Internet Security	主防拦截
McAfee Endpoint Security	被加密
ESET Inetrnet Security	被加密
Windows Defender	被加密	程序版本稍老
Bitdefender Total Security	被加密
Avast Premium Security	被加密
火绒安全软件	被加密
F-Secure SAFE	被加密	保护文件夹无效
趋势繁体中文版	被加密	保护文件夹无效
G-DATA Total Security	被加密
360安全卫士	被加密	开启勒索赔偿模式
瑞星之剑	诱饵杀
金山毒霸	被加密	开启勒索诱捕
Emsisoft Anti-Malware	主防拦截
ZoneAlarm Anti-Ransomware	被加密
智量	诱饵杀
Malwarebytes Premium	被加密
HitmanPro.Alert	成功拦截
Sophos Home Premiue	成功拦截	但未能结束进程
Dr.Web	成功拦截	只加密User文件夹则不杀
Symantec Endpoint Protection	被加密
Avira Internet Security	被加密
AppCheck	成功拦截
Comodo Internet Security	入沙
Bitdefender Endpoint Security	被加密
AVG Anti-Virus Free Edition	被加密	保护文件夹无效
微点	被加密	开增强和勒索诱捕
Panda Free Antivirus	被加密
ZoneAlarm Extreme Security	主防拦截

腾讯电脑管家	被加密
SecureAPlus	被加密

1：诺顿，被加密，DP无反应

2：卡巴，主防杀，并无回滚，可能因为还没加密多少文件。


卡巴在我实机调试的时候就已经杀过一次了，当时设置的加密目录是我的Ramdisk[:08:]

3：MES，默认选项，更新最新，被加密

4：ESET，完蛋

5：WD，无反应，不过我这个是LTSC自带WD，可能版本过老。

6：BDTS，被加密，ATD无反应

7：Avast，无反应，被加密

8：火绒，完蛋

9：F-Secure个人版，被加密，功能里专门写的受保护文件夹不知道干什么吃的，还是被加密。

10：趋势繁体中文版，被加密，勒索保护文件夹也是无效，全部加密。而且趋势上来就误杀了一堆桌面的东西[:08:]

11：G-DATA，这个最离谱，病毒库都被加密了，几分钟前刚更新完的，现在上次更新日期已经不见了。

12:360卫士国内版，开启勒索先赔模式，被加密

13:瑞星之剑，上来就加密了诱饵，直接被干掉

不过瑞星之剑把我java弄坏了，我只加密桌面试试，看看能不能绕过诱饵

原来桌面也有诱饵文件，虽然加密了一大堆东西，但好在桌面文件都没受影响。

14：金山娱霸，我记得是这么多杀软里唯一一个自家快捷方式都被加密的杀软，设置里有个开启勒索诱捕，开启后依然被加密。

15：Emsisoft，比卡巴杀的还快，就加密了2个文件

16：zonealarm anti-ransomware，完蛋，进程不少，毫无反应

17：智量，根目录文件诱饵杀，改成只加密Users文件夹之后触发我的文档里的诱饵，桌面被加密的文件都被恢复


18：Malwarebytes，失败。这是很奇特的一款杀软，虽然他没有能防住，但是他给了用户反应时间。它的性能优化太差，其他杀软被加密时加密程序以130MB/s的速度加密，但是因为mb的扫描，加密速度仅为6-10MB/s，而且mb的CPU占用是加密程序的好几倍，内存占用一直在波动，最高达到了1.7GB的单进程内存占用。

19：HitmanPro.Alert，成功拦截，文件未受损失

20：Sophos Home Premiue，提示阻止，但未能结束对应进程，勒索程序一直遍历完所有文件才停，桌面文件未损失。
骚护士使用体验极差，点啥都开网页看，不注册账号连日志都看不了[:08:]

21：Dr.Web，全盘加密的话加密一半就杀了，还没加密到桌面，杀的时候顺便把java也给删除了[:08:]
如果只加密用户文件夹的话，miss了，桌面文件全部被加密。


22：有人问的SEP，看起来性能真不错，加密速度全程都在100MB/s以上，平均速度应该是这些杀软里最快的了[:01:]

23：Avira，GG，实时监控显著影响加密速度

24：AppCheck，反勒索杀并且回滚所有文件，连TXT也滚了。来自761773275大佬测试。

25：Comodo，惨遭入沙

26：BD企业版，被加密

27：AVG免费版，又一个摆设勒索保护，自己快捷方式都被加密了

28：微点免费版，被加密，开启增强模式和勒索诱捕，依然无效。


29：Panda免费版，似乎收费版才有勒索保护[:08:]

30：ZoneAlarmExtreme Security，成功拦截，就是UI有点反胃

31：腾讯电脑管家，看起来性能比较差，加密桌面之前的速度峰值只有40MB/s，比那几个国外大厂的速度低了很多[:08:]

32：SecureAPlus，被加密

样本在此[:01:]
https://bbs.kafan.cn/thread-2202703-1-1.html

开虚拟机做测试，SSD写了800+GB

qw8462

SEP如何？还有瑞星ESM3.0版开瑞星之剑防勒索功能也可以测试下

结果出来了，看来SEP的性能不错，完全不影响其它软件的性能。同时瑞星之剑防勒索还是很强大的。

諾言敵不過時間

目前看來防毒完敗啊..
好奇一下
趨勢有開高安全性跟勒索剋星嗎？

KevinYu0504

BD 的 ATD ，趋势的勒索防护夹都翻车，
倒是有些让人感到意外 ~


楼主若方便，希望能测试看看
Emsisoft、Malwarebytes 甚至 HitmanPro.Alert  ~

欧阳宣

可以可以。牛逼。
能M我样本么？我去试试BD的完全体

dongwenqi

看来还是卡巴斯基不错

munsimli

F-Secure的勒索防護似乎是擺設，之前petr0vic大佬放上來的一系列勒索樣本與其他版友提供的powershell的勒索樣本都是短時間內被加密，DG與勒索防護連個屁都不吭一聲

企稳向好

快一年过去了，BD家庭版的ATD在这方面（以及MBR保护）似乎并没有什么长进看起来卡巴的SW则加强了对此类样本的检测
https://bbs.kafan.cn/thread-2174774-1-1.html

ly9327

大佬牛批，测测毒霸和瑞星呗，瑞星不是一直说瑞星之剑很牛吗

dg1vg4

那个，瑞星之剑虽然名义上收费，但是实际上，就算你不输序列号，瑞星之剑依然在保护你，就是租子催得紧。可以测试。

瑞星之剑这一套防御是带有回传功能的，用以确认自己拦截的到底是误报还是真威胁，如果你是在联网环境下测试的话，估计样本已经……