WanaCrypt0r勒索病毒:20款杀软主防测试【新增变种测试,结果有变】_国外杀毒软件_安全区 卡饭论坛

本帖最后由 houtiancheng 于 2017-5-17 22:45 编辑

你们要的公平公正公开的测试来啦~
这次是AV- Comparatives的权威测试,采用爆发前不久的毒库对WannaCry进行测试
虽然也是断网……不过这个没得喷了吧~

http://weblog.av-comparatives.or ... annacry-ransomware/

结果如下:

Adaware Pro Security Protected
Avast Free Antivirus Protected
AVG Free Antivirus Protected
AVIRA Antivirus Pro Protected
Bitdefender Internet Security Protected
BullGuard Internet Security Protected
CrowdStrike Falcon Prevent Protected
Emsisoft Anti-Malware Protected
eScan Corporate 360 Protected
ESET Internet Security Not protected
F-Secure SAFE Protected
Fortinet FortiClient Not protected
Kaspersky Internet Security Protected
McAfee Internet Security Not protected
Microsoft Security Essentials Not protected
Panda Free Antivirus Protected
Seqrite Endpoint Security Protected
Tencent PC Manager Protected
Symantec Norton Security Protected
Trend Micro Internet Security Protected
VIPRE Advanced Security for Home Protected

ESET、Fortinet、McAfee、MSE要打屁股

————————————————我是变种测试的分割线——————————————————

刚刚看到样本区出现了一个过当下BD的变种,又来了兴趣,所以对部分杀软进行了重测

测试条件与原测试一致。

样本:
http://bbs.kafan.cn/thread-2089484-1-1.html

重测的结果如下,如果和原测试的结果叠加则更有说服力。名字前带星号的表示与原测试结果有区别。

重测中成功防御的:

Kaspersky Internet Security(20161212):同样是加密后回滚成功

F-Secure Client Security(20161212):DG继续给力,在加密开始之前就拦截了

Cybereason RansomFree(20161231,v2.1.1.0):防御成功

※Symantec Endpoint Protection(20161212):这次SEP成功B杀(启发杀),算是有一个交代了

重测中在部分场景能够防御的:

HitManPro.Alert(3.6.1 Build 574):与原测试结果一致。
如果是桌面和我的文档都放置私人文件,则能够防御,不过还是会弹出勒索GUI和替换桌面背景
如果是只有桌面有私人文件,则防御失败,无弹窗。

重测中防御失败的:

※BitDefender Free(20161212):这次是一声不吭被加密……
※Dr. Web Anti-Virus(20161212):这次启发不到了……启发的宝座让给SEP了

AVG Free(20161212):防御失败

————————————————我是推荐阅读的分割线——————————————————

顺便蹭一波热度吧:

我前几个月做了一系列的对比测试,方法都和这次一致,你可以用于参考

国内外12款杀毒软件启发及主防测试

http://bbs.kafan.cn/thread-2063566-1-1.html

【第二弹】11款免费杀软启发和主防测试
http://bbs.kafan.cn/thread-2068830-1-1.html

【第三弹测试热身】Cybereason RansomFree 防勒索测试
http://bbs.kafan.cn/thread-2071327-1-1.html

【第三弹】9款杀软启发及主防测试(这个没测完,本来是22款的……这次此时所用的虚拟机镜像本来是用于第三弹的= =)
http://bbs.kafan.cn/thread-2074274-1-1.html

每次断网测试都有人吐槽,为了实现联网测试“全新病毒”
就有了:自制勒索病毒+联网的测试
http://bbs.kafan.cn/thread-2069598-1-1.html

————————————————我是吐槽的分割线——————————————————

吐槽一下:

本文被驱动之家、cnBeta等各类新闻网站在无通知、无署名的情况下引用、转载
本来这已经够神烦的了……
然后360的公关部看到了这些抄袭的稿子,并表示本文是”黑稿“……
嗯……如此一个清清楚楚的测评也是恶意黑360的呢~
厉害,佩服

image

http://weibo.com/1645903643/F35P ... t_id=0&type=comment

————————————————我是原文的分割线——————————————————

HMPA的测试结果有变,请参照后文

原文:

看到最近这个勒索这么火,手痒啦~
这个样本主要应该是靠漏洞传播,刚好合适我的测试环境,所以来测试一下看看各大杀软的主防是否有效。

测试的方法照旧是锁库+断网(不再对这个测试方法回复,详情参照我之前的测试贴)。
这次用的大部分杀软都锁在2016年12月12日的库,虽然很早很早,但结果依然令人惊讶的好。

测试环境:
VBox虚拟机,win7英文版SP1(未打补丁),各杀毒软件均采用默认设置,解压后直接双击运行病毒

样本下载:
http://bbs.kafan.cn/thread-2088985-1-1.html

测试结果:

防御成功的(会留下一些无害衍生物):
BitDefender Free(20161212):一声不吭就杀掉了,
Kaspersky Internet Security(20161212):被加密了一些后,主防杀,成功回滚
F-Secure Client Security(20161212):主防杀
Dr. Web Anti-Virus(20161212):启发杀,非常神奇(http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀)
Cybereason RansomFree(20161231,v2.1.1.0):成功拦截

Emsisoft Internet Security(20170104):智能HIPS杀,Emsisoft与其他杀软相比HIPS性质较强,需要更多人工参与,因此不作并列。

SandBoxie(v5.12):预期之内,即使是旧版本的沙盘,依旧不会被穿

在部分场景能够防御的:
HitManPro.Alert(3.6.1 Build 574):如果只在桌面放置供加密的文档、照片等勒索目标,则HMPA无反应;但是如果同时在我的文档中也放置个人文件,则HMPA可以成功防御

检测到非法行为但拦截失败/后知后觉的:
Trend Micro(20161212)
GDATA(20161212)
这个都有弹窗,但是即使点block,文件都已经被加密

防御失败的(无反应被加密):
360杀毒+360卫士(20161212)
360 Total Security(20161212)
火绒(20161212)
费尔(20161212)
AVAST Internet Security(20170127,旧版)
AVAST Internet Security(20170210,IDP融合后的版本)
AVG Free(20161212)
McAfee Endpoint Security(20161220)
Symantec Endpoint Protection(20161212)
AVIRA Free(20161212)
ESET Internet Security(20161219)

总结:

之前看到有人说,国外这些杀软大厂技术先进,可能领先几个月之多。
当时我不太相信,不过现在只能说,大写的服~
无论从哪个测试看,无疑卡巴和BD都是现在杀软大军中的超一流,这再次得到了验证。
这也再次证明了主防的必要性。
用5个月前的毒库和行为库斩杀了5个月后流行的病毒,事实胜于雄辩。
(可惜了我的AVG……不给力啊)
(ps:如果让exe入沙运行,AVG的IDP是会有弹窗拦截的,算是个小惊喜ww)
(pps:本次测试娱乐成分居多,结果仅供参考~)

截图:

防御成功的:

BDF:
image

KIS:
image

FSCS:
image

DrWeb AV:
image

Cybereason RansomFree:
image

Emsisoft IS:
image

SBie:
image

在部分场景能够防御的:
HMPA:
只在桌面有个人文件——防御失败
image

在桌面和我的文档都有个人文件——防御成功
image

后知后觉的:

TrendMicro:
image

image

GDATA:

image

image

防御失败的:

360杀毒+卫士:
image

360TS:
image

火绒:
image

费尔:
image

AVAST旧版:
image

AVAST新版:
image

AVG:
image

MES:
image

SEP:
image

AVIRA:
image


ESET:
image

为您推荐了相关的技术文章:

  1. unserialize() 实战之 vBulletin 5.x.x 远程代码执行
  2. Use AppDomainManager to maintain persistence
  3. MS17-010漏洞检测与内网穿透技术的应用 | 浮萍的个人空间
  4. Scrapy框架之利用ImagesPipeline下载图片
  5. Linux 下用exim4 bypass php disable_functions

原文链接: bbs.kafan.cn