作者YuQilin (神兽)
看板AntiVirus
标题Re: [情报] WanaCrypt0r勒索病毒:19款防毒主防测试
时间Tue May 16 23:22:56 2017
http://bbs.kafan.cn/thread-2089134-1-1.html
原作者重新测试了WanaCrypt0r的一个变种,结果产生了一些变化,
测试条件和上一次的测试一样,
冻结防毒的版本和病毒资料库的日期为2016/12/12,
五个月前的旧版本,测试「当时」防毒的主防是否能防御WanaCrypt0r病毒.
以下节录原文重新测试的结果:
================
重测中成功防御的:
Kaspersky Internet Security(20161212):同样是加密後回滚成功
F-Secure Client Security(20161212):DG继续给力,在加密开始之前就拦截了
Cybereason RansomFree(20161231,v2.1.1.0):防御成功
Symantec Endpoint Protection(20161212):这次SEP成功B杀(启发杀),
算是有一个交代了
重测中在部分场景能够防御的:
HitManPro.Alert(3.6.1 Build 574):与原测试结果一致。
如果是桌面和我的文档都放置私人文件,则能够防御,不过还是会弹出勒索GUI和替换桌面背景
如果是只有桌面有私人文件,则防御失败,无弹窗。
重测中防御失败的:
BitDefender Free(20161212):这次是一声不吭被加密……
AVG Free(20161212):防御失败
==============
如果长期观察样本测试,会发现每一家的防毒都会有被过的时候,
换一个样本,测试的结果可能就有差异.
即使这次重测依然成功防御的防毒软体,
在其他样本也还是可以见到破功的例子.
即使这次重测结果防御失败的防毒软体,
也不代表它就无法应付未来的其他变种.
「短时间」的「单一」测试会有局限性,
我们很难依此判断防毒对於整体未知威胁的防御效果.
即使我们使用了长期测试下来,成绩稳定优秀的防毒软体,
也还是不能保证能够100%防御推陈出新的变种病毒,
即使防御率高达99%,刚好中的就是那1%,
对於中毒的使用者来说,再高的防御率也没有意义.
最重要的还是使用者要具备资讯安全的观念,
不管是开启信件,文件,连结,应用都要随保持警觉,
最重要的是有重大的安全性漏洞一定要记得修补,
还有勤做备份,才能真正远离勒索病毒的威胁.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.91
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494948178.A.1A6.html
※ 编辑: YuQilin (61.219.36.91), 05/16/2017 23:25:47
1F:→ gwofeng: RansomFree是放档案陷阱式来对付勒索病毒那套吧 05/16 23:30
2F:推 modkk: 正确观念推 05/16 23:32
3F:→ gwofeng: 不是有人测了说D槽不会保护,而且加密一些才吃到陷阱 05/16 23:32
RansomFree只能保护C槽的问题後续版本好像有修正了?
我没关注所以不确定 原作者可能也没有注意C槽以外是否有保护
因为RansomFree长期测试以来 防勒索的效果都不是很好
所以我不推荐使用RansomFree防勒索 只是在这个测试中
RansomFree「刚好」可以防止WanaCrypt0r的这个变种
所以我一直在强调测试有局限性
我看到很多人用这篇测试的结果来判定防毒的效果
其实是不准确的 应该要详细阅读测试的说明和测试的目的
才能理解测试的结果该如何解读 才能对这资讯做有效的运用
4F:推 DINJIAPC: 彼特实测断网下有问题 05/16 23:34
5F:推 abram: 谢谢 刚刚把BD换成RansomFree了 05/16 23:40
RansomFree不是完整的防毒软体 只能防勒索
不能取代BD全部的功能 建议最好不要换
6F:推 abyz: BD不晓得是怎麽被过的 它的ATC不受断网影响吧 05/16 23:47
7F:→ abyz: 以前用是这样 一阵子没用了 不知道现在还是不是这样 05/16 23:48
※ 编辑: YuQilin (61.219.36.91), 05/16/2017 23:52:28
8F:推 shinkiro: 看来测一次不够,要测几次YA 05/16 23:54
9F:→ chiu0938: F-Secure不是BD的徒弟吗 05/16 23:54
10F:→ gwofeng: F-Secure是芬兰的公司吧 05/16 23:55
11F:推 abyz: 卡巴的rollback是一监控到可疑动作时就备份 发现是恶意行为 05/17 00:08
12F:→ abyz: 立刻干掉并回复原来样子 不过system watcher模组是怎麽判定 05/17 00:09
13F:推 flora11883: F-secure感觉满威的,有人想团购吗 05/17 00:09
14F:→ abyz: 哪些行为是可疑的来做备份无人知晓 只知道他们家的判定技术 05/17 00:09
15F:→ abyz: 很威 少有误判或失手 战斗民族的机密@@ 05/17 00:10
16F:推 Radiomir: 主防强弱与吃资源与否成正相关, 如何取得平衡, 自己拿 05/17 00:11
17F:→ Radiomir: 捏... 05/17 00:11
18F:推 abyz: F-Secure以前有OEM BD的引擎和病毒库(现在不知) 加上自己本 05/17 00:15
19F:→ abyz: 身技术也不弱 叠加起来所以一直很强悍 但以前有吃资源问题 05/17 00:16
20F:→ gwofeng: 对吼,以前用过F-Secure不差,但就是多引擎技术超吃资源 05/17 00:17
21F:→ gwofeng: 现在是效能过剩的时代应该没差了 05/17 00:18
22F:推 minamibaby: 我现在就是用F-Secure 05/17 00:24
23F:推 sdbb: f-secure以前也用过卡巴的引擎 05/17 00:33
24F:推 danny0830: 为何卡巴加密了还可以还原? 05/17 00:34
25F:推 abyz: 其实现在几间大厂的主防、启发式侦测...等都朝轻量化在开发 05/17 00:35
26F:→ abyz: 有多引擎多病毒库的 融合的技术也都慢慢成熟 所以并没想像中 05/17 00:36
27F:→ abyz: 的吃资源了 连我家里1.5Gram的XP旧机跑都不会很顿很顿了 05/17 00:36
28F:→ abyz: 硬体效能过剩的时代 为安全起见 牺牲一点点效能装这些是必要 05/17 00:37
29F:推 abyz: d大 卡巴应该是发现有可疑动作就做备份了 才能发现是malware 05/17 01:11
30F:→ abyz: 时一面干掉一面rollback原备份 假如卡巴失手开始加密才动作 05/17 01:11
31F:→ abyz: 那战斗民族再猛也不可能解RSA-2048还原原档 05/17 01:12
32F:→ abyz: 只不过他们是怎麽判断发现可疑动作怎麽备份 到底是用了什麽 05/17 01:19
33F:→ abyz: 黑科技 能少有loss或误判做白工 国内外很多人都想知道 @@a 05/17 01:20
34F:推 barlin: 能知道就可以出个防毒软体对抗卡巴了XD 05/17 01:44
35F:推 verdandy: 说实在现在浏览器很多分页开多一点就比卡巴还吃资源了 05/17 02:11
36F:推 TWeng: 不知道为什麽我用卡巴会蓝画面,就改用BD了 05/17 02:56
37F:推 gamesame7711: 奇怪 赛门铁克原种杀不掉 变种的反而杀掉了? 05/17 03:01
38F:→ abyz: 卡巴的特点是很强大 但小bug不少 尤其新版刚出时 总会出现些 05/17 04:29
39F:→ abyz: 让人意想不到或无言的bug 通常等几个fix版後再装会比较稳 05/17 04:30
40F:→ abyz: 卡巴充分反映出俄罗斯人的习性 威猛但粗犷 05/17 04:31
41F:→ munsimli: 在思考一个问题,BD、卡巴、诺顿、FS、Emsisoft与趋势的 05/17 07:15
42F:→ munsimli: 主防都很强大,但是都有无法防御的纪录,是否这时有档案 05/17 07:16
43F:→ munsimli: 回复机制的功能变得相对重要? 另卡巴的档案回复据说非常 05/17 07:17
44F:→ munsimli: 厉害,是否也仍有漏掉无法回复的纪录呢? 05/17 07:18
有回复的机制很有用 可是回复也会有失败的时候
现在能100%对抗目前所见的勒索病毒的机制
只有虚拟机,沙盒,和加载内核驱动锁权限的资料保护
像comodo,avast是用沙盒 BD,卡巴,趋势则有资料保护
45F:→ chiu0938: 以前对卡巴的印象是强到宁可错杀一百 不可纵放一个 05/17 08:04
※ 编辑: YuQilin (61.219.36.91), 05/17/2017 08:21:57
46F:推 MVagusta: 不管哪家防毒用病毒码或档案回复都会有失误 断网连网效 05/17 15:38
47F:→ MVagusta: 果也不同 所以才要多种防护 像卡巴和趋势有资料保护 趋 05/17 15:38
48F:→ MVagusta: 势可以设定保护资料夹(叫做勒索克星...)来挡不安全的程 05/17 15:38
49F:→ MVagusta: 式改里头的档案 05/17 15:38
50F:→ gwofeng: 趋势的保护资料夹功能,当病毒动到该资料夹,会中断病毒 05/17 15:50
51F:→ gwofeng: 加密行为,并可终止病毒程式的常驻,但缺点就只能设一个 05/17 15:51
52F:→ gwofeng: 资料夹来保护,希望改版後能设定复数资料夹 05/17 15:53
53F:→ fatstan: 原本的结果是趋势有提示通知但还是被加密了吧 05/17 21:27