本帖最后由 22222221 于 2025-9-22 16:07 编辑
注意:本次测试并不能反应一个杀毒软件的综合能力,仅供参考!!!
2025年国内外消费端杀毒软件勒索病毒防御测试报告 测试说明本次为 2025 年国内外消费端杀毒软件防御勒索病毒测试,测试围绕 5 个勒索病毒样本展开,所有杀软均保持默认设置,更新最新病毒库并重启一次。 评分标准每一个样本对应 200 个模拟办公文档文件,每有 1 个文件未被加密积 0.1 分,完美防御 1 个样本积 20 分,满分为 100 分。梯度明细如下: • 90~100(分):Advanced • 60~90(分)[不含 90 分:Standard • 0~60(分)[不含 60 分:Failed 测试样本明细1. Ransomware1:使用 AES 加密文档文件夹及子目录所有文件并放于 % Temp%\EncryptedData 下,将随机生成 AES 密钥经过 RSA 加密保存于同一目录,使用 DeleteFile API 删除文件夹所有文件,最后保存勒索信至与被加密文件同一目录下,代码语言 cpp,VS2022 编译,添加 Geek 的 ico 资源与 Version Info。 2. Ransomware2:同 Ransomware1,但使用 SHFileOperationW 这个 api 来删除文件 3. Ransomware3:同 Ransomware1,只是删除文件行为改为使用 CMD 的 DEL 命令,代码语言为 python,使用 WinRAR 创建自解压文件将 Python 根目录与 py 脚本将其打包,运行时执行 python.exe test.py,自解压文件的程序资源(如 ico,version-info)不变动。 4. Ransomware4:同 Ransomware3,但删除文件改为使用 powershell 的 Remove-Item 命令。 5. Ransomware5:同 Ransomware3、4,但删除文件行为改为创建 VBS 脚本删除。 受测名单国内组1. 腾讯电脑管家 2. 金山毒霸 3. 火绒安全 6.0 4. 瑞星 V17 5. 云溪杀毒 6. 瑞星之剑 7. 360 安全卫士 + 360 杀毒(开核晶) 8.江民 国外组1. Malwarebytes 2. Avast Free 3. Kaspersky Free 4. Dr Web space 5. Sophos Home 6. Hitmanpro.Alert 7. 趋势科技 8. ESET(ESET Internet Security) 9. Windows Defender 10. AppCheck(取 Free 版) 11. Avira Free 12. ZoneAlarm Anti-Ransomware(ZAAR)
阅前必看1. 所有杀软均保持默认设置(肯定会有人说火绒默认没开勒索诱捕不公平。) 2. 火绒默认是开勒索行为检测的,所以即使不开诱捕也是有防御勒索的动态检测。 3. 保持默认设置才能公平,如果要给火绒开诱捕的话,那么 —— ① Windows Defender 是否将文件夹限制访问全部拉满,并开启零信任,WAC 拉满? ② Sophos Home 是否手动进入非白即黑模式(不在白名单的全部干掉,虽然可能不太准确,不过怕有人不懂简单解释一下)? ③ 趋势科技要不要开高敏感,Avast 开增强保护? ④ 卡巴斯基是否直接标准版自定义 Hips 干脆将所有文件锁死,不允许任何程序访问? 并且这里也是模拟小白使用电脑来进行测试的 因此综上所述,为了保证公平性与可控性,所有杀毒软件均使用默认设置,更新最新病毒库并重启一次。 PS:我知道 ESET 的勒索护盾需要在 ESET LiveGrid 信誉为可疑,但这里测试是为了模拟安全软件遇到未知勒索防御情况,故不会将其主动触发。 测试结果(附表格省流)ZAAR是20分,手滑打错了
公开样本(质量一般大佬轻喷 ):https://pan.huang1111.cn/s/YL8XWsA 网盘密码:2356 压缩包密码:1
1. 腾讯电脑管家
评分:0
2.金山毒霸
评分:0
3.火绒安全
评分:0
4.瑞星v17
评分:0
5.云溪杀毒(终于见到拦截弹窗了)
Ransomware3:miss
Ransomware4
最后一个又miss……
评分:60
6.瑞星之剑
Ransomwware2 miss
Ransomware3 kill
Ransomware4没拦截弹窗但文件未被删除
最后一个miss
评分:60分
7.360安全卫士+360杀毒(开核晶)
Ransomware2 拦截修改desktop.ini文件,文档文件存活未被删除
后面几个样本QVM三连击
不信邪尝试直接运行py脚本,还是被乱杀
评分:100分
8.赤豹终端安全
评分:40分
接下来进入国外专场
9.Malwarebytes
评分:40分
10.Avast Free(文件夹限制访问撑起来的)
评分:60分
11.Kaspersky
评分:0分 (我真的没有任何暗改啊,我不知道为什么卡巴会翻车成这样……)
12.Dr Web Space
Ransomware1:剩下100个文件存活
Ransomware2,100个文件存活
评分:20分
13.Sophos Home
非常神奇,前两个漏了,后面三个全杀
评分:60分
14.Hitmanpro.Alert(与Sophos Home表现一样不多叙述)
评分:60分
15.趋势科技
评分:100分
16.ESET
评分:40分
17.Windows Defender
然后就是WD对自解压程序通杀问题……这里看到仅仅自解压程序只有一个txt,仍然被wd判杀……,所以跳过自解压步骤直接运行加密看看
然而换来的就是……Ransomware3~5全部miss……
评分:20分
18.AppCheck,取Free版
评分:0分(你又怎么回事??)
19.Avira
评分:40分
最后一位 ZAAR
除了第一个全部miss
miss
评分:20分
| 
[复制链接]
发表于 
楼主
