作者shinbird (爆肝就要喝爱肝)
看板AntiVirus
标题Re: [情报] WanaCrypt0r勒索病毒:19款防毒主防测试
时间Sun May 14 23:11:20 2017
※ 引述《wuhujohn (东尼史塔克)》之铭言:
: ※ 引述《omkizo (陈武爱带你笑掌)》之铭言:
: : 这个是中国网友做的测试
: : 前边有人说到 病毒可能设有对虚拟机器/沙盒的测试 对一般环境可能并不适用
: : 但我觉得还是有一定的参考价值的
: : 结果尚算不错吧 几个知名的软体都挡到
: : (部分用词略作调整以符合台湾的惯用语)
: : ---
: : http://bbs.kafan.cn/thread-2089134-1-1.html
: : [技术原创] WanaCrypt0r勒索病毒:19款防毒主防测试
: : 看到最近这个勒索这麽火,手痒啦~
: : 这个样本主要应该是靠漏洞传播,刚好合适我的测试环境,所以来测试一下看看各大杀软
: : 的主防是否有效。
: : 测试的方法照旧是锁库+断网(不再对这个测试方法回复,详情参照我之前的测试贴)。
: : 这次用的大部分杀软都锁在2016年12月12日的库,虽然很早很早,但结果依然令人惊讶的
: : 好。
: : 测试环境:
: : VBox虚拟机,win7英文版SP1(未打补丁),各防毒软体均采用预设设置,解压後直接双
: : 击运行病毒
: : 样本下载:
: : <链结删除有兴趣者请进入原文拿取>
: : 测试结果:
: : 防御成功的(会留下一些无害衍生物):
: : BitDefender Free(20161212):一声不吭就杀掉了,
: : Kaspersky Internet Security(20161212):被加密了一些後,主防杀,成功回滚
: : F-Secure Client Security(20161212):主防杀
: : Emsisoft Internet Security(20170104):主防(勒索保护)杀
: : Dr. Web Anti-Virus(20161212):启发杀,非常神奇
: : (http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀)
: : SandBoxie(v5.12):预期之内,即使是旧版本的沙盘,依旧不会被穿
: : 检测到非法行为但拦截失败/後知後觉的:
: : Trend Micro(20161212)
: : GDATA(20161212)
: : 这个都有弹窗,但是即使点block,文件都已经被加密
: : 防御失败的(无反应被加密):
: : 360杀毒+360卫士( 20 161212)
: : 360 Total Security(20161212)
: : 火绒(20161212)
: : 费尔(20161212)
: : AVAST Internet Security(20170127,旧版)
: : AVAST Internet Security(20170210,IDP融合後的版本)
: : AVG Free(20161212)
: : HitManPro.Alert(3.6.1 Build 574)
: : McAfee Endpoint Security(20161220)
: : Symantec Endpoint Security(20161212)
: : AVIRA Free(20161212)
: : ESET Internet Security(20161219)
: : 总结:
: : 之前看到有人说,国外这些防毒软体大厂技术先进,可能领先几个月之多。
: : 当时我不太相信,不过现在只能说,大写的服~
: : 无论从哪个测试看,无疑卡巴和BD都是现在防毒大军中的超一流,这再次得到了验证。
: : 这也再次证明了主防的必要性。
: : 用5个月前的毒库和行为库斩杀了5个月後流行的病毒,事实胜於雄辩。
: : (可惜了我的AVG……不给力啊)
: : (ps:如果让exe入沙运行,AVG的IDP是会有弹窗拦截的,算是个小惊喜ww)
: : (pps:本次测试娱乐成分居多,结果仅供参考~)
: : ---
: : 给大家参考一下罗
: 我使用的防毒软体是Symantec Protection Endpoint
: 刚好那台电脑没装到三月份的更新,这次的SMB漏洞攻击有拦截住
: 马上去补了更新起来
: 而且最近几个月赛门铁克都有针对勒索病毒做重点防护
: http://i.imgur.com/vaLBcWD.jpg
之前用过不少防毒,
也买过正版的,结果还是会中奖。
後来都改用MSE。
因为简单、便宜、好用、免费,而且保证是正版。
不会有试用期到了就叫你要更新或是升级的问题。
缺点就是很阳春,
没有邮件保护。不过现在都是用线上邮件收信。
下载档案的话,他就会主动扫。
公司邮件的话,会先从公司主机伺服器那边过滤一次,
基本上是不太需要。
而且现在也很少用内部收信了。
主要都是通过即使聊天软体如skype或line传讯,
很少传图片跟网址。
然後自己也会定期作备份工作。
公司重要资料跟旧档案都是异地备份。
不敢保证万无一失,但至少尽量让伤害发生的时候,
把灾情降到最小。
但我们公司的MIS标准设定防毒软体却是AVG free……。
叫他跟公司申请成企业版或是专业版。
(你个人家用主机就算了,公司用的耶…)
也才几千块,但他却死活不动,
不然就是跟我说,他申请了,但公司没批准,
然後一副不关他事的样子…。
难怪会发生连自家公司软体有没有用盗版都不晓得,
被人一唬就说要买三十套正版的事情发生……。
==
昨天还听到一件很不可思议的事,
就是我们公司主机的伺服器没有买专业防毒跟防火墙
我问他说会不会中勒索??
他说他有设SMB跟Netbios的功能给关了……。
我问他说为什麽没有买?你有提出建议跟申请吗?
他就惦惦了。
所以我现在心情真的是挫咧等…
不过我只要自己的电脑没事就好了…,呵呵
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.234.118.101
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494774682.A.E7E.html
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:13:22
1F:→ greg7575: 就你问题最多,炒你 05/14 23:13
2F:推 miniuser: 小公司? 在台湾见怪不怪了 05/14 23:13
3F:推 a47135: 你知道台湾不流行解决问题,而是流行解决提出问题的人吗? 05/14 23:17
4F:→ gowaa: 楼上 好像也不只台湾呢.. 有够悲哀 到底为何是这种文化 05/14 23:18
5F:→ smtp: 公司mis又没经理丶副总权限, 提出花钱方案只会被K而已~ 05/14 23:21
6F:推 purplvampire: 我公司也没买付费版AV,也没特别帮SVR买,谁问我这个 05/14 23:22
7F:→ purplvampire: 只会被我当回去,你行你来做,当公司这麽好舍得花钱? 05/14 23:23
8F:推 deepwild: 买好一点的防毒还会被会计批花太多钱 05/14 23:23
9F:→ purplvampire: 防毒系统的配置是整体资讯安全防御的一环,要一起看 05/14 23:24
你是专业,所以我相信你。
但对一个连系统重开机也会当掉,把公司网站搞挂一个星期修不好。
结果提出的方案是叫公司换主机供应商,
最後逼得公司主管去请前任MIS帮我们处理,
结果对方十分钟就把网站回复。
然後被人唬一下,就认为我们公司软体是用盗版的人来说…。
我不相信他有啥专业。
这只是小例子,还有其它太多太多因素。
基本上他到现在还没有被fire掉的原因,我也不清楚。
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:28:38
10F:推 stewartqq: =_=...我跟你说啦!惯老板的心态就是不花钱最好! 05/14 23:25
11F:嘘 ABA0525: 问台湾惯老板啊,只想省钱。mis提买企业版一定被骂 05/14 23:25
12F:→ stewartqq: 勒索病毒我公司去年就中一轮了!我还是一样提出申请~ 05/14 23:25
13F:→ purplvampire: 不要个别针对特定目标去检视,这样才能用最低成本发 05/14 23:25
14F:→ stewartqq: 照样被打枪!从此我就摆烂了~被锁了刚好罢了 05/14 23:26
15F:→ purplvampire: 会最高价值,别小看MIS的专业 05/14 23:26
16F:→ ABA0525: 老板跟会计还会问为何买卡巴这麽贵,有免费小红伞不用 05/14 23:26
17F:→ stewartqq: 这次风波新闻一出来所有主管阶层都来问我一轮了!我只回 05/14 23:27
18F:→ stewartqq: 不知道~~~~~=_=...林北又不是mis 05/14 23:27
19F:→ ABA0525: 摆烂是对的,提出卡巴还被人捅武说用免费提公司省钱。呵 05/14 23:27
20F:→ ABA0525: 呵 05/14 23:27
21F:推 HowLeeHi: 便宜又免费?? 05/14 23:28
22F:→ stewartqq: =_=我只顾好我工作的电脑就好了!!!其它就不干我的事~ 05/14 23:28
23F:推 deepwild: 会计会说 根据本年度预算 能动用的设备费只能花多少 05/14 23:28
24F:→ deepwild: XXX防毒比较便宜 大宗采购就买XXX 05/14 23:29
那是你们公司吧…
我们公司会计,我去申请摄影器材,她帮我整个报表打好,
还为什麽我只说买镜头?叫我加报灯光跟脚架……。
基本上我们会计课(兼总务)不会打枪我们申请这些钱,
还会要求我们一定要请钱= =
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:32:28
25F:→ ABA0525: 财务部经理会呛说你有找三家以上防毒评估了吗,为何选最 05/14 23:31
26F:→ ABA0525: 贵 要提公司省钱好吗 05/14 23:31
27F:→ purplvampire: 我记得我刚进这间公司时,跟老板说他要的东西都要买, 05/14 23:31
28F:→ purplvampire: 他对我的评价就跟你一样:什麽这些都不能自己搞?请你 05/14 23:32
29F:→ purplvampire: 来干嘛?我直接外包给厂商做就好了啊干,呵呵 05/14 23:33
30F:→ stewartqq: =_=老板问:为什麽装了防毒软体还会中毒...我都懒的理了 05/14 23:35
我们MIS:中毒怎麽?重灌就好了啊。
………。呃,如果只是要重灌,那也不需要他。
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:38:03
31F:推 deepwild: 原PO公司的会计根本天使好吗? 05/14 23:37
不然你以为我们公司怎麽是怎麽撑到现在的?...
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:38:56
32F:推 purplvampire: 重灌确实是最佳做法,不信你去MIS版问,答案一定相同 05/14 23:43
不是问解决方法,而是如何问他如何预防的方法。
解决方式我当然知道重灌...,不对,是买一台新的主机更快。
33F:推 paul40807: 你的公司会计是天使 但是你的MIS根本无言 05/14 23:45
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:46:16
34F:→ paul40807: 不过还是想问 他是只有重灌还是会尽量帮忙回复资料 05/14 23:45
你问到重点了。他不会回复资料。
上次有同事的电脑坏了,他说要寄回原厂问。但那颗硬碟已经过保了。
结果主管就问他,为什麽隔壁就是资料救援公司,你不去问看看?
他才说对齁,然後拿去送修…
我们公司就在资料救援跟网管公司邻立的NOVA旁边……
35F:→ purplvampire: 重点是,RPO多少?RTO多长?以及User会闲置多久? 05/14 23:45
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:48:52
36F:→ paul40807: 如果会回复资料 基本上脑袋就算清楚的了 还没有太废 05/14 23:46
37F:→ abelyi100: 重灌本来就是最好的做法吧?这是常识吧? 05/14 23:46
38F:→ abelyi100: 你能保证病毒清掉了100%不会复发吗…… 05/14 23:46
39F:→ purplvampire: 我的RPO是趋近於0,没有资料回复的问题,资料不必回复 05/14 23:48
40F:→ purplvampire: 我换一台主机30分钟内让User上工,你买要多久时间? 05/14 23:49
对了,你提到这件事,我才回想起来,他去把硬碟送修回来後,
同事没有主机不能作业,我主管问他怎麽办?
他说没有硬碟他没办法,要等硬碟回来才行。
我就插口问他,公司没有其它的主机吗?不能拔其它的硬碟来装吗?
如果硬碟修不好,或是三五天才回来,那同事不就放假算了?
最後,他跑去大卖场买了一颗新的硬碟回来……
41F:→ shinbird: 我们公司隔壁就是NOVA……。 05/14 23:50
※ 编辑: shinbird (36.234.118.101), 05/14/2017 23:53:29
42F:推 paul40807: 你们MIS好优质喔 你们应徵标准到底在哪… 05/15 00:03
43F:→ paul40807: 还是这不是他的专长… 05/15 00:03
我们前任MIS是私下跟我说,
因为他公司就要开业了他想赶快走人,
但根本就没有人来应徵,
就只有他寄履历来,就让他接了。
...他之前好像是帮第四台装cable的人员。
前任MIS说,虽然有点不好意思,
但他说他都有交待清楚,然後决定请他的是老板,
所以真的也不是他乱捉交替的问题。
他说的一点也没错。
我也不晓得我们老板的用人标准。
因为我们主管是否决这个人事命令的,
但老板最後还是决定请他。
※ 编辑: shinbird (36.234.118.101), 05/15/2017 00:06:14
※ 编辑: shinbird (36.234.118.101), 05/15/2017 00:08:27
44F:推 deepwild: 看来这位MIS应该去分摊天使会计的总务业务 MIS你来当XD 05/15 00:09
我们会计之前有叫他分摊总务的工作,但後来还是决定,自己收回来作。
因为叫他出门采买文具一趟三小时,清单上写口红胶x1、原子笔x1、胶带x1。
单位都是盒。
结果他每个都只买一支回来...
现在他的功用只剩下出门去寄信,而且限定他要半小时内回来。
45F:推 coyoteY: 背景很硬 05/15 00:09
46F:推 purplvampire: 好吧,看起来是请到一个门外汉来干MIS,自求多福了QQ 05/15 00:15
※ 编辑: shinbird (36.234.118.101), 05/15/2017 00:23:40
47F:推 nk950357: 这啥小MIS XDDDDDDDDDDDDDDD 05/15 00:24
48F:→ nk950357: 乾一盒买一只这有好笑到 05/15 00:25
49F:推 q0325: 看来後台很硬w 05/15 01:06
50F:推 deepwild: 老板这麽nice会计又很天使 贵公司有缺人吗XDDD 05/15 01:25
51F:推 light1234: 请问是哪家公司 我去应徵MIS好吗 除了寄信 我还会 05/15 01:25
52F:→ light1234: 买便当跟请款XDDD 05/15 01:25
之前有请他代订过便当跟处理员旅的事,
他脸很臭,所以後来都不请帮他忙了。
(其实这也真的不关他的事)
不过我们内部大头决定是如果火了他的话,我们MIS要外包,不请人了。
※ 编辑: shinbird (36.234.118.101), 05/15/2017 01:28:32
53F:推 JUNOCARE: 刚好可以趁这波勒索风波炒掉他阿 05/15 03:36
54F:→ JUNOCARE: 就要主管问他几个勒索相关问题 答不出来就炒 天经地义 05/15 03:37
55F:推 mathrew: 推1F XDDDDDDDDDDDD 05/15 07:00
56F:→ mathrew: 不要怪 MIS 啦,你以为跟老板要钱这麽简单喔 你也出张嘴 05/15 07:01
57F:推 awenracious: 有些公司为了省钱,还会装类似openoffice之後的,老 05/15 08:36
58F:→ awenracious: 板不想花这笔你也没辄 05/15 08:36
59F:推 BleuCiel69: 泪推3楼啊 05/15 10:04
今天他又出包了,他叫工厂的人员系统异地更新,
却把工厂的网路关掉,然後叫工厂人员去上网路捉档案…(菸)
还好我的电脑没事就好了。
※ 编辑: shinbird (59.125.46.247), 05/15/2017 10:19:42
60F:推 verdandy: 免费授权拿来公司用,防毒公司是可以告的 05/15 11:16
61F:推 D49361128: 居然拿免费授权企业使用 帮防毒公司QQ 05/15 11:56
62F:→ fgkor123: 安 缺人吗XD 05/16 08:46
63F:→ fgkor123: 不过免费授权拿去公司用,被抓到可能真的要买三十套XD 05/16 08:48
64F:→ fgkor123: 看授权范围 05/16 08:49