Re: [情報] WanaCrypt0r勒索病毒：19款防毒主防測試 YuQilin PTT批踢踢實業坊

Re: [情報] WanaCrypt0r勒索病毒：19款防毒主防測試

作者: YuQilin (神獸) 2017-05-16 23:22:56

http://bbs.kafan.cn/thread-2089134-1-1.html
原作者重新測試了WanaCrypt0r的一個變種,結果產生了一些變化,
測試條件和上一次的測試一樣,
凍結防毒的版本和病毒資料庫的日期為2016/12/12,
五個月前的舊版本,測試「當時」防毒的主防是否能防禦WanaCrypt0r病毒.
以下節錄原文重新測試的結果:
================
重測中成功防禦的：
Kaspersky Internet Security（20161212）：同樣是加密後回滾成功
F-Secure Client Security（20161212）：DG繼續給力，在加密開始之前就攔截了
Cybereason RansomFree（20161231，v2.1.1.0）：防禦成功
Symantec Endpoint Protection（20161212）：這次SEP成功B殺（啟發殺），
算是有一個交代了
重測中在部分場景能夠防禦的：
HitManPro.Alert（3.6.1 Build 574）：與原測試結果一致。
如果是桌面和我的文檔都放置私人文件，則能夠防禦，不過還是會彈出勒索GUI和替換桌面背景
如果是只有桌面有私人文件，則防禦失敗，無彈窗。
重測中防禦失敗的：
BitDefender Free（20161212）：這次是一聲不吭被加密……
AVG Free（20161212）：防禦失敗
==============
如果長期觀察樣本測試,會發現每一家的防毒都會有被過的時候,
換一個樣本,測試的結果可能就有差異.
即使這次重測依然成功防禦的防毒軟體,
在其他樣本也還是可以見到破功的例子.
即使這次重測結果防禦失敗的防毒軟體,
也不代表它就無法應付未來的其他變種.
「短時間」的「單一」測試會有侷限性,
我們很難依此判斷防毒對於整體未知威脅的防禦效果.
即使我們使用了長期測試下來,成績穩定優秀的防毒軟體,
也還是不能保證能夠100%防禦推陳出新的變種病毒,
即使防禦率高達99%,剛好中的就是那1%,
對於中毒的使用者來說,再高的防禦率也沒有意義.
最重要的還是使用者要具備資訊安全的觀念,
不管是開啟信件,文件,連結,應用都要隨保持警覺,
最重要的是有重大的安全性漏洞一定要記得修補,
還有勤做備份,才能真正遠離勒索病毒的威脅.

作者: chiu0938 (啾-心情陰陰的) 2017-05-17 08:04:00

以前對卡巴的印象是強到寧可錯殺一百不可縱放一個

作者: munsimli (口嫌體正直) 2017-05-17 07:15:00

在思考一個問題，BD、卡巴、諾頓、FS、Emsisoft與趨勢的主防都很強大，但是都有無法防禦的紀錄，是否這時有檔案回復機制的功能變得相對重要? 另卡巴的檔案回復據說非常厲害，是否也仍有漏掉無法回復的紀錄呢?

作者: gwofeng (宮山洋行) 2017-05-16 23:30:00

RansomFree是放檔案陷阱式來對付勒索病毒那套吧

作者: modkk (魔德軻軻) 2017-05-16 23:32:00

正確觀念推

作者: gwofeng (宮山洋行) 2017-05-16 23:32:00

不是有人測了說D槽不會保護，而且加密一些才吃到陷阱

作者: DINJIAPC (鼎家) 2017-05-16 23:34:00

彼特實測斷網下有問題

作者: abram (科科) 2017-05-16 23:40:00

謝謝剛剛把BD換成RansomFree了

作者: abyz (妳們來吃烤雞吧) 2017-05-16 23:47:00

BD不曉得是怎麼被過的它的ATC不受斷網影響吧以前用是這樣一陣子沒用了不知道現在還是不是這樣

作者: shinkiro (Shinkiro) 2017-05-16 23:54:00

看來測一次不夠,要測幾次YA

作者: chiu0938 (啾-心情陰陰的) 2017-05-16 23:54:00

F-Secure不是BD的徒弟嗎

作者: gwofeng (宮山洋行) 2017-05-16 23:55:00

F-Secure是芬蘭的公司吧

作者: abyz (妳們來吃烤雞吧) 2017-05-17 00:08:00

卡巴的rollback是一監控到可疑動作時就備份發現是惡意行為立刻幹掉並回復原來樣子不過system watcher模組是怎麼判定

作者: flora11883 (台南肯茄茄) 2017-05-17 00:09:00

F-secure感覺滿威的，有人想團購嗎

作者: abyz (妳們來吃烤雞吧) 2017-05-17 00:09:00

哪些行為是可疑的來做備份無人知曉只知道他們家的判定技術很威少有誤判或失手戰鬥民族的機密@@

作者: Radiomir (Radiomir) 2017-05-17 00:11:00

主防強弱與吃資源與否成正相關, 如何取得平衡, 自己拿捏...

作者: abyz (妳們來吃烤雞吧) 2017-05-17 00:15:00

F-Secure以前有OEM BD的引擎和病毒庫(現在不知) 加上自己本身技術也不弱疊加起來所以一直很強悍但以前有吃資源問題

作者: gwofeng (宮山洋行) 2017-05-17 00:17:00

對吼，以前用過F-Secure不差，但就是多引擎技術超吃資源現在是效能過剩的時代應該沒差了

作者: minamibaby (æœ‹æœ‹) 2017-05-17 00:24:00

我現在就是用F-Secure

作者: sdbb (幫我泡杯卡布奇諾) 2017-05-17 00:33:00

f-secure以前也用過卡巴的引擎

作者: danny0830 (丹尼) 2017-05-17 00:34:00

為何卡巴加密了還可以還原？

作者: abyz (妳們來吃烤雞吧) 2017-05-17 00:35:00

其實現在幾間大廠的主防、啟發式偵測...等都朝輕量化在開發有多引擎多病毒庫的融合的技術也都慢慢成熟所以並沒想像中的吃資源了連我家裡1.5Gram的XP舊機跑都不會很頓很頓了硬體效能過剩的時代為安全起見犧牲一點點效能裝這些是必要d大卡巴應該是發現有可疑動作就做備份了才能發現是malware時一面幹掉一面rollback原備份假如卡巴失手開始加密才動作那戰鬥民族再猛也不可能解RSA-2048還原原檔只不過他們是怎麼判斷發現可疑動作怎麼備份到底是用了什麼黑科技能少有loss或誤判做白工國內外很多人都想知道 @@a

作者: barlin (barlinckamc) 2017-05-17 01:44:00

能知道就可以出個防毒軟體對抗卡巴了XD

作者: verdandy (無聊人) 2017-05-17 02:11:00

說實在現在瀏覽器很多分頁開多一點就比卡巴還吃資源了

作者: TWeng (TWenG) 2017-05-17 02:56:00

不知道為什麼我用卡巴會藍畫面，就改用BD了

作者: gamesame7711 (框框愛安安) 2017-05-17 03:01:00

奇怪賽門鐵克原種殺不掉變種的反而殺掉了?

作者: abyz (妳們來吃烤雞吧) 2017-05-17 04:29:00

卡巴的特點是很強大但小bug不少尤其新版剛出時總會出現些讓人意想不到或無言的bug 通常等幾個fix版後再裝會比較穩卡巴充分反映出俄羅斯人的習性威猛但粗獷

作者: MVagusta (Dragster RR) 2017-05-17 15:38:00

不管哪家防毒用病毒碼或檔案回復都會有失誤斷網連網效果也不同所以才要多種防護像卡巴和趨勢有資料保護趨勢可以設定保護資料夾(叫做勒索剋星...)來擋不安全的程式改裡頭的檔案

作者: gwofeng (宮山洋行) 2017-05-17 15:50:00

趨勢的保護資料夾功能，當病毒動到該資料夾，會中斷病毒加密行為，並可終止病毒程式的常駐，但缺點就只能設一個資料夾來保護，希望改版後能設定複數資料夾

作者: fatstan (DPJ) 2017-05-17 21:27:00

原本的結果是趨勢有提示通知但還是被加密了吧

繼續閱讀

[問題] 免費防毒誰與爭鋒?gg56 [問題] 每次開機都會出現一個應用程式叫我安裝red0whale Re: [情報] WannaCrywdhongtw [求救] adwcleaner掃完之後 chrome灌不回來 QQjodawa [情報] 中國推出WannaCry文件恢復工具了！Schubert [情報] WannaCrytopgear7425 [問題] AVG Antivirus Free與VMware Playerhototogisu [問題] 學術網路電腦前用分享器pi2324 [情報] 剛剛發現疑似假FLASH網頁xodd123456 [問題] 關於win7電腦更新nekobe5124