Re: [情報] WanaCrypt0r勒索病毒:19款防毒主防測試

看板AntiVirus (防毒)作者 (神獸)時間7年前 (2017/05/16 23:22), 7年前編輯推噓19(19034)
留言53則, 19人參與, 最新討論串7/8 (看更多)
http://bbs.kafan.cn/thread-2089134-1-1.html 原作者重新測試了WanaCrypt0r的一個變種,結果產生了一些變化, 測試條件和上一次的測試一樣, 凍結防毒的版本和病毒資料庫的日期為2016/12/12, 五個月前的舊版本,測試「當時」防毒的主防是否能防禦WanaCrypt0r病毒. 以下節錄原文重新測試的結果: ================ 重測中成功防禦的: Kaspersky Internet Security(20161212):同樣是加密後回滾成功 F-Secure Client Security(20161212):DG繼續給力,在加密開始之前就攔截了 Cybereason RansomFree(20161231,v2.1.1.0):防禦成功 Symantec Endpoint Protection(20161212):這次SEP成功B殺(啟發殺), 算是有一個交代了 重測中在部分場景能夠防禦的: HitManPro.Alert(3.6.1 Build 574):與原測試結果一致。 如果是桌面和我的文檔都放置私人文件,則能夠防禦,不過還是會彈出勒索GUI和替換桌面背景 如果是只有桌面有私人文件,則防禦失敗,無彈窗。 重測中防禦失敗的: BitDefender Free(20161212):這次是一聲不吭被加密…… AVG Free(20161212):防禦失敗 ============== 如果長期觀察樣本測試,會發現每一家的防毒都會有被過的時候, 換一個樣本,測試的結果可能就有差異. 即使這次重測依然成功防禦的防毒軟體, 在其他樣本也還是可以見到破功的例子. 即使這次重測結果防禦失敗的防毒軟體, 也不代表它就無法應付未來的其他變種. 「短時間」的「單一」測試會有侷限性, 我們很難依此判斷防毒對於整體未知威脅的防禦效果. 即使我們使用了長期測試下來,成績穩定優秀的防毒軟體, 也還是不能保證能夠100%防禦推陳出新的變種病毒, 即使防禦率高達99%,剛好中的就是那1%, 對於中毒的使用者來說,再高的防禦率也沒有意義. 最重要的還是使用者要具備資訊安全的觀念, 不管是開啟信件,文件,連結,應用都要隨保持警覺, 最重要的是有重大的安全性漏洞一定要記得修補, 還有勤做備份,才能真正遠離勒索病毒的威脅. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.91 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494948178.A.1A6.html ※ 編輯: YuQilin (61.219.36.91), 05/16/2017 23:25:47

05/16 23:30, , 1F
RansomFree是放檔案陷阱式來對付勒索病毒那套吧
05/16 23:30, 1F

05/16 23:32, , 2F
正確觀念推
05/16 23:32, 2F

05/16 23:32, , 3F
不是有人測了說D槽不會保護,而且加密一些才吃到陷阱
05/16 23:32, 3F
RansomFree只能保護C槽的問題後續版本好像有修正了? 我沒關注所以不確定 原作者可能也沒有注意C槽以外是否有保護 因為RansomFree長期測試以來 防勒索的效果都不是很好 所以我不推薦使用RansomFree防勒索 只是在這個測試中 RansomFree「剛好」可以防止WanaCrypt0r的這個變種 所以我一直在強調測試有侷限性 我看到很多人用這篇測試的結果來判定防毒的效果 其實是不準確的 應該要詳細閱讀測試的說明和測試的目的 才能理解測試的結果該如何解讀 才能對這資訊做有效的運用

05/16 23:34, , 4F
彼特實測斷網下有問題
05/16 23:34, 4F

05/16 23:40, , 5F
謝謝 剛剛把BD換成RansomFree了
05/16 23:40, 5F
RansomFree不是完整的防毒軟體 只能防勒索 不能取代BD全部的功能 建議最好不要換

05/16 23:47, , 6F
BD不曉得是怎麼被過的 它的ATC不受斷網影響吧
05/16 23:47, 6F

05/16 23:48, , 7F
以前用是這樣 一陣子沒用了 不知道現在還是不是這樣
05/16 23:48, 7F
※ 編輯: YuQilin (61.219.36.91), 05/16/2017 23:52:28

05/16 23:54, , 8F
看來測一次不夠,要測幾次YA
05/16 23:54, 8F

05/16 23:54, , 9F
F-Secure不是BD的徒弟嗎
05/16 23:54, 9F

05/16 23:55, , 10F
F-Secure是芬蘭的公司吧
05/16 23:55, 10F

05/17 00:08, , 11F
卡巴的rollback是一監控到可疑動作時就備份 發現是惡意行為
05/17 00:08, 11F

05/17 00:09, , 12F
立刻幹掉並回復原來樣子 不過system watcher模組是怎麼判定
05/17 00:09, 12F

05/17 00:09, , 13F
F-secure感覺滿威的,有人想團購嗎
05/17 00:09, 13F

05/17 00:09, , 14F
哪些行為是可疑的來做備份無人知曉 只知道他們家的判定技術
05/17 00:09, 14F

05/17 00:10, , 15F
很威 少有誤判或失手 戰鬥民族的機密@@
05/17 00:10, 15F

05/17 00:11, , 16F
主防強弱與吃資源與否成正相關, 如何取得平衡, 自己拿
05/17 00:11, 16F

05/17 00:11, , 17F
捏...
05/17 00:11, 17F

05/17 00:15, , 18F
F-Secure以前有OEM BD的引擎和病毒庫(現在不知) 加上自己本
05/17 00:15, 18F

05/17 00:16, , 19F
身技術也不弱 疊加起來所以一直很強悍 但以前有吃資源問題
05/17 00:16, 19F

05/17 00:17, , 20F
對吼,以前用過F-Secure不差,但就是多引擎技術超吃資源
05/17 00:17, 20F

05/17 00:18, , 21F
現在是效能過剩的時代應該沒差了
05/17 00:18, 21F

05/17 00:24, , 22F
我現在就是用F-Secure
05/17 00:24, 22F

05/17 00:33, , 23F
f-secure以前也用過卡巴的引擎
05/17 00:33, 23F

05/17 00:34, , 24F
為何卡巴加密了還可以還原?
05/17 00:34, 24F

05/17 00:35, , 25F
其實現在幾間大廠的主防、啟發式偵測...等都朝輕量化在開發
05/17 00:35, 25F

05/17 00:36, , 26F
有多引擎多病毒庫的 融合的技術也都慢慢成熟 所以並沒想像中
05/17 00:36, 26F

05/17 00:36, , 27F
的吃資源了 連我家裡1.5Gram的XP舊機跑都不會很頓很頓了
05/17 00:36, 27F

05/17 00:37, , 28F
硬體效能過剩的時代 為安全起見 犧牲一點點效能裝這些是必要
05/17 00:37, 28F

05/17 01:11, , 29F
d大 卡巴應該是發現有可疑動作就做備份了 才能發現是malware
05/17 01:11, 29F

05/17 01:11, , 30F
時一面幹掉一面rollback原備份 假如卡巴失手開始加密才動作
05/17 01:11, 30F

05/17 01:12, , 31F
那戰鬥民族再猛也不可能解RSA-2048還原原檔
05/17 01:12, 31F

05/17 01:19, , 32F
只不過他們是怎麼判斷發現可疑動作怎麼備份 到底是用了什麼
05/17 01:19, 32F

05/17 01:20, , 33F
黑科技 能少有loss或誤判做白工 國內外很多人都想知道 @@a
05/17 01:20, 33F

05/17 01:44, , 34F
能知道就可以出個防毒軟體對抗卡巴了XD
05/17 01:44, 34F

05/17 02:11, , 35F
說實在現在瀏覽器很多分頁開多一點就比卡巴還吃資源了
05/17 02:11, 35F

05/17 02:56, , 36F
不知道為什麼我用卡巴會藍畫面,就改用BD了
05/17 02:56, 36F

05/17 03:01, , 37F
奇怪 賽門鐵克原種殺不掉 變種的反而殺掉了?
05/17 03:01, 37F

05/17 04:29, , 38F
卡巴的特點是很強大 但小bug不少 尤其新版剛出時 總會出現些
05/17 04:29, 38F

05/17 04:30, , 39F
讓人意想不到或無言的bug 通常等幾個fix版後再裝會比較穩
05/17 04:30, 39F

05/17 04:31, , 40F
卡巴充分反映出俄羅斯人的習性 威猛但粗獷
05/17 04:31, 40F

05/17 07:15, , 41F
在思考一個問題,BD、卡巴、諾頓、FS、Emsisoft與趨勢的
05/17 07:15, 41F

05/17 07:16, , 42F
主防都很強大,但是都有無法防禦的紀錄,是否這時有檔案
05/17 07:16, 42F

05/17 07:17, , 43F
回復機制的功能變得相對重要? 另卡巴的檔案回復據說非常
05/17 07:17, 43F

05/17 07:18, , 44F
厲害,是否也仍有漏掉無法回復的紀錄呢?
05/17 07:18, 44F
有回復的機制很有用 可是回復也會有失敗的時候 現在能100%對抗目前所見的勒索病毒的機制 只有虛擬機,沙盒,和加載內核驅動鎖權限的資料保護 像comodo,avast是用沙盒 BD,卡巴,趨勢則有資料保護

05/17 08:04, , 45F
以前對卡巴的印象是強到寧可錯殺一百 不可縱放一個
05/17 08:04, 45F
※ 編輯: YuQilin (61.219.36.91), 05/17/2017 08:21:57

05/17 15:38, , 46F
不管哪家防毒用病毒碼或檔案回復都會有失誤 斷網連網效
05/17 15:38, 46F

05/17 15:38, , 47F
果也不同 所以才要多種防護 像卡巴和趨勢有資料保護 趨
05/17 15:38, 47F

05/17 15:38, , 48F
勢可以設定保護資料夾(叫做勒索剋星...)來擋不安全的程
05/17 15:38, 48F

05/17 15:38, , 49F
式改裡頭的檔案
05/17 15:38, 49F

05/17 15:50, , 50F
趨勢的保護資料夾功能,當病毒動到該資料夾,會中斷病毒
05/17 15:50, 50F

05/17 15:51, , 51F
加密行為,並可終止病毒程式的常駐,但缺點就只能設一個
05/17 15:51, 51F

05/17 15:53, , 52F
資料夾來保護,希望改版後能設定複數資料夾
05/17 15:53, 52F

05/17 21:27, , 53F
原本的結果是趨勢有提示通知但還是被加密了吧
05/17 21:27, 53F
文章代碼(AID): #1P6nbI6c (AntiVirus)
討論串 (同標題文章)
文章代碼(AID): #1P6nbI6c (AntiVirus)