作者shinbird (爆肝就要喝愛肝)
看板AntiVirus
標題Re: [情報] WanaCrypt0r勒索病毒:19款防毒主防測試
時間Sun May 14 23:11:20 2017
※ 引述《wuhujohn (東尼史塔克)》之銘言:
: ※ 引述《omkizo (陳武愛帶你笑掌)》之銘言:
: : 這個是中國網友做的測試
: : 前邊有人說到 病毒可能設有對虛擬機器/沙盒的測試 對一般環境可能並不適用
: : 但我覺得還是有一定的參考價值的
: : 結果尚算不錯吧 幾個知名的軟體都擋到
: : (部分用詞略作調整以符合臺灣的慣用語)
: : ---
: : http://bbs.kafan.cn/thread-2089134-1-1.html
: : [技術原創] WanaCrypt0r勒索病毒:19款防毒主防測試
: : 看到最近這個勒索這麼火,手癢啦~
: : 這個樣本主要應該是靠漏洞傳播,剛好合適我的測試環境,所以來測試一下看看各大殺軟
: : 的主防是否有效。
: : 測試的方法照舊是鎖庫+斷網(不再對這個測試方法回复,詳情參照我之前的測試貼)。
: : 這次用的大部分殺軟都鎖在2016年12月12日的庫,雖然很早很早,但結果依然令人驚訝的
: : 好。
: : 測試環境:
: : VBox虛擬機,win7英文版SP1(未打補丁),各防毒軟體均採用預設設置,解壓後直接雙
: : 擊運行病毒
: : 樣本下載:
: : <鏈結刪除有興趣者請進入原文拿取>
: : 測試結果:
: : 防禦成功的(會留下一些無害衍生物):
: : BitDefender Free(20161212):一聲不吭就殺掉了,
: : Kaspersky Internet Security(20161212):被加密了一些後,主防殺,成功回滾
: : F-Secure Client Security(20161212):主防殺
: : Emsisoft Internet Security(20170104):主防(勒索保護)殺
: : Dr. Web Anti-Virus(20161212):啟發殺,非常神奇
: : (http://bbs.kafan.cn/thread-2088985-1-1.html的變種也能啟發殺)
: : SandBoxie(v5.12):預期之內,即使是舊版本的沙盤,依舊不會被穿
: : 檢測到非法行為但攔截失敗/後知後覺的:
: : Trend Micro(20161212)
: : GDATA(20161212)
: : 這個都有彈窗,但是即使點block,文件都已經被加密
: : 防禦失敗的(無反應被加密):
: : 360殺毒+360衛士( 20 161212)
: : 360 Total Security(20161212)
: : 火絨(20161212)
: : 費爾(20161212)
: : AVAST Internet Security(20170127,舊版)
: : AVAST Internet Security(20170210,IDP融合後的版本)
: : AVG Free(20161212)
: : HitManPro.Alert(3.6.1 Build 574)
: : McAfee Endpoint Security(20161220)
: : Symantec Endpoint Security(20161212)
: : AVIRA Free(20161212)
: : ESET Internet Security(20161219)
: : 總結:
: : 之前看到有人說,國外這些防毒軟體大廠技術先進,可能領先幾個月之多。
: : 當時我不太相信,不過現在只能說,大寫的服~
: : 無論從哪個測試看,無疑卡巴和BD都是現在防毒大軍中的超一流,這再次得到了驗證。
: : 這也再次證明了主防的必要性。
: : 用5個月前的毒庫和行為庫斬殺了5個月後流行的病毒,事實勝於雄辯。
: : (可惜了我的AVG……不給力啊)
: : (ps:如果讓exe入沙運行,AVG的IDP是會有彈窗攔截的,算是個小驚喜ww)
: : (pps:本次測試娛樂成分居多,結果僅供參考~)
: : ---
: : 給大家參考一下囉
: 我使用的防毒軟體是Symantec Protection Endpoint
: 剛好那台電腦沒裝到三月份的更新,這次的SMB漏洞攻擊有攔截住
: 馬上去補了更新起來
: 而且最近幾個月賽門鐵克都有針對勒索病毒做重點防護
: http://i.imgur.com/vaLBcWD.jpg
之前用過不少防毒,
也買過正版的,結果還是會中獎。
後來都改用MSE。
因為簡單、便宜、好用、免費,而且保證是正版。
不會有試用期到了就叫你要更新或是升級的問題。
缺點就是很陽春,
沒有郵件保護。不過現在都是用線上郵件收信。
下載檔案的話,他就會主動掃。
公司郵件的話,會先從公司主機伺服器那邊過濾一次,
基本上是不太需要。
而且現在也很少用內部收信了。
主要都是通過即使聊天軟體如skype或line傳訊,
很少傳圖片跟網址。
然後自己也會定期作備份工作。
公司重要資料跟舊檔案都是異地備份。
不敢保證萬無一失,但至少儘量讓傷害發生的時候,
把災情降到最小。
但我們公司的MIS標準設定防毒軟體卻是AVG free……。
叫他跟公司申請成企業版或是專業版。
(你個人家用主機就算了,公司用的耶…)
也才幾千塊,但他卻死活不動,
不然就是跟我說,他申請了,但公司沒批準,
然後一副不關他事的樣子…。
難怪會發生連自家公司軟體有沒有用盜版都不曉得,
被人一唬就說要買三十套正版的事情發生……。
==
昨天還聽到一件很不可思議的事,
就是我們公司主機的伺服器沒有買專業防毒跟防火牆
我問他說會不會中勒索??
他說他有設SMB跟Netbios的功能給關了……。
我問他說為什麼沒有買?你有提出建議跟申請嗎?
他就惦惦了。
所以我現在心情真的是挫咧等…
不過我只要自己的電腦沒事就好了…,呵呵
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.234.118.101
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494774682.A.E7E.html
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:13:22
1F:→ greg7575: 就你問題最多,炒你 05/14 23:13
2F:推 miniuser: 小公司? 在台灣見怪不怪了 05/14 23:13
3F:推 a47135: 你知道台灣不流行解決問題,而是流行解決提出問題的人嗎? 05/14 23:17
4F:→ gowaa: 樓上 好像也不只台灣呢.. 有夠悲哀 到底為何是這種文化 05/14 23:18
5F:→ smtp: 公司mis又沒經理丶副總權限, 提出花錢方案只會被K而已~ 05/14 23:21
6F:推 purplvampire: 我公司也沒買付費版AV,也沒特別幫SVR買,誰問我這個 05/14 23:22
7F:→ purplvampire: 只會被我噹回去,你行你來做,當公司這麼好捨得花錢? 05/14 23:23
8F:推 deepwild: 買好一點的防毒還會被會計批花太多錢 05/14 23:23
9F:→ purplvampire: 防毒系統的配置是整體資訊安全防禦的一環,要一起看 05/14 23:24
你是專業,所以我相信你。
但對一個連系統重開機也會當掉,把公司網站搞掛一個星期修不好。
結果提出的方案是叫公司換主機供應商,
最後逼得公司主管去請前任MIS幫我們處理,
結果對方十分鐘就把網站回復。
然後被人唬一下,就認為我們公司軟體是用盜版的人來說…。
我不相信他有啥專業。
這只是小例子,還有其它太多太多因素。
基本上他到現在還沒有被fire掉的原因,我也不清楚。
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:28:38
10F:推 stewartqq: =_=...我跟你說啦!慣老闆的心態就是不花錢最好! 05/14 23:25
11F:噓 ABA0525: 問台灣慣老闆啊,只想省錢。mis提買企業版一定被罵 05/14 23:25
12F:→ stewartqq: 勒索病毒我公司去年就中一輪了!我還是一樣提出申請~ 05/14 23:25
13F:→ purplvampire: 不要個別針對特定目標去檢視,這樣才能用最低成本發 05/14 23:25
14F:→ stewartqq: 照樣被打槍!從此我就擺爛了~被鎖了剛好罷了 05/14 23:26
15F:→ purplvampire: 會最高價值,別小看MIS的專業 05/14 23:26
16F:→ ABA0525: 老闆跟會計還會問為何買卡巴這麼貴,有免費小紅傘不用 05/14 23:26
17F:→ stewartqq: 這次風波新聞一出來所有主管階層都來問我一輪了!我只回 05/14 23:27
18F:→ stewartqq: 不知道~~~~~=_=...林北又不是mis 05/14 23:27
19F:→ ABA0525: 擺爛是對的,提出卡巴還被人捅武說用免費提公司省錢。呵 05/14 23:27
20F:→ ABA0525: 呵 05/14 23:27
21F:推 HowLeeHi: 便宜又免費?? 05/14 23:28
22F:→ stewartqq: =_=我只顧好我工作的電腦就好了!!!其它就不干我的事~ 05/14 23:28
23F:推 deepwild: 會計會說 根據本年度預算 能動用的設備費只能花多少 05/14 23:28
24F:→ deepwild: XXX防毒比較便宜 大宗採購就買XXX 05/14 23:29
那是你們公司吧…
我們公司會計,我去申請攝影器材,她幫我整個報表打好,
還為什麼我只說買鏡頭?叫我加報燈光跟腳架……。
基本上我們會計課(兼總務)不會打槍我們申請這些錢,
還會要求我們一定要請錢= =
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:32:28
25F:→ ABA0525: 財務部經理會嗆說你有找三家以上防毒評估了嗎,為何選最 05/14 23:31
26F:→ ABA0525: 貴 要提公司省錢好嗎 05/14 23:31
27F:→ purplvampire: 我記得我剛進這間公司時,跟老闆說他要的東西都要買, 05/14 23:31
28F:→ purplvampire: 他對我的評價就跟你一樣:什麼這些都不能自己搞?請你 05/14 23:32
29F:→ purplvampire: 來幹嘛?我直接外包給廠商做就好了啊幹,呵呵 05/14 23:33
30F:→ stewartqq: =_=老闆問:為什麼裝了防毒軟體還會中毒...我都懶的理了 05/14 23:35
我們MIS:中毒怎麼?重灌就好了啊。
………。呃,如果只是要重灌,那也不需要他。
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:38:03
31F:推 deepwild: 原PO公司的會計根本天使好嗎? 05/14 23:37
不然你以為我們公司怎麼是怎麼撐到現在的?...
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:38:56
32F:推 purplvampire: 重灌確實是最佳做法,不信你去MIS版問,答案一定相同 05/14 23:43
不是問解決方法,而是如何問他如何預防的方法。
解決方式我當然知道重灌...,不對,是買一台新的主機更快。
33F:推 paul40807: 你的公司會計是天使 但是你的MIS根本無言 05/14 23:45
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:46:16
34F:→ paul40807: 不過還是想問 他是只有重灌還是會盡量幫忙回復資料 05/14 23:45
你問到重點了。他不會回復資料。
上次有同事的電腦壞了,他說要寄回原廠問。但那顆硬碟已經過保了。
結果主管就問他,為什麼隔壁就是資料救援公司,你不去問看看?
他才說對齁,然後拿去送修…
我們公司就在資料救援跟網管公司鄰立的NOVA旁邊……
35F:→ purplvampire: 重點是,RPO多少?RTO多長?以及User會閒置多久? 05/14 23:45
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:48:52
36F:→ paul40807: 如果會回復資料 基本上腦袋就算清楚的了 還沒有太廢 05/14 23:46
37F:→ abelyi100: 重灌本來就是最好的做法吧?這是常識吧? 05/14 23:46
38F:→ abelyi100: 你能保證病毒清掉了100%不會復發嗎…… 05/14 23:46
39F:→ purplvampire: 我的RPO是趨近於0,沒有資料回復的問題,資料不必回復 05/14 23:48
40F:→ purplvampire: 我換一台主機30分鐘內讓User上工,你買要多久時間? 05/14 23:49
對了,你提到這件事,我才回想起來,他去把硬碟送修回來後,
同事沒有主機不能作業,我主管問他怎麼辦?
他說沒有硬碟他沒辦法,要等硬碟回來才行。
我就插口問他,公司沒有其它的主機嗎?不能拔其它的硬碟來裝嗎?
如果硬碟修不好,或是三五天才回來,那同事不就放假算了?
最後,他跑去大賣場買了一顆新的硬碟回來……
41F:→ shinbird: 我們公司隔壁就是NOVA……。 05/14 23:50
※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:53:29
42F:推 paul40807: 你們MIS好優質喔 你們應徵標準到底在哪… 05/15 00:03
43F:→ paul40807: 還是這不是他的專長… 05/15 00:03
我們前任MIS是私下跟我說,
因為他公司就要開業了他想趕快走人,
但根本就沒有人來應徵,
就只有他寄履歷來,就讓他接了。
...他之前好像是幫第四台裝cable的人員。
前任MIS說,雖然有點不好意思,
但他說他都有交待清楚,然後決定請他的是老闆,
所以真的也不是他亂捉交替的問題。
他說的一點也沒錯。
我也不曉得我們老闆的用人標準。
因為我們主管是否決這個人事命令的,
但老闆最後還是決定請他。
※ 編輯: shinbird (36.234.118.101), 05/15/2017 00:06:14
※ 編輯: shinbird (36.234.118.101), 05/15/2017 00:08:27
44F:推 deepwild: 看來這位MIS應該去分攤天使會計的總務業務 MIS你來當XD 05/15 00:09
我們會計之前有叫他分攤總務的工作,但後來還是決定,自己收回來作。
因為叫他出門採買文具一趟三小時,清單上寫口紅膠x1、原子筆x1、膠帶x1。
單位都是盒。
結果他每個都只買一支回來...
現在他的功用只剩下出門去寄信,而且限定他要半小時內回來。
45F:推 coyoteY: 背景很硬 05/15 00:09
46F:推 purplvampire: 好吧,看起來是請到一個門外漢來幹MIS,自求多福了QQ 05/15 00:15
※ 編輯: shinbird (36.234.118.101), 05/15/2017 00:23:40
47F:推 nk950357: 這啥小MIS XDDDDDDDDDDDDDDD 05/15 00:24
48F:→ nk950357: 乾一盒買一隻這有好笑到 05/15 00:25
49F:推 q0325: 看來後台很硬w 05/15 01:06
50F:推 deepwild: 老闆這麼nice會計又很天使 貴公司有缺人嗎XDDD 05/15 01:25
51F:推 light1234: 請問是哪家公司 我去應徵MIS好嗎 除了寄信 我還會 05/15 01:25
52F:→ light1234: 買便當跟請款XDDD 05/15 01:25
之前有請他代訂過便當跟處理員旅的事,
他臉很臭,所以後來都不請幫他忙了。
(其實這也真的不關他的事)
不過我們內部大頭決定是如果火了他的話,我們MIS要外包,不請人了。
※ 編輯: shinbird (36.234.118.101), 05/15/2017 01:28:32
53F:推 JUNOCARE: 剛好可以趁這波勒索風波炒掉他阿 05/15 03:36
54F:→ JUNOCARE: 就要主管問他幾個勒索相關問題 答不出來就炒 天經地義 05/15 03:37
55F:推 mathrew: 推1F XDDDDDDDDDDDD 05/15 07:00
56F:→ mathrew: 不要怪 MIS 啦,你以為跟老闆要錢這麼簡單喔 你也出張嘴 05/15 07:01
57F:推 awenracious: 有些公司為了省錢,還會裝類似openoffice之後的,老 05/15 08:36
58F:→ awenracious: 闆不想花這筆你也沒輒 05/15 08:36
59F:推 BleuCiel69: 淚推3樓啊 05/15 10:04
今天他又出包了,他叫工廠的人員系統異地更新,
卻把工廠的網路關掉,然後叫工廠人員去上網路捉檔案…(菸)
還好我的電腦沒事就好了。
※ 編輯: shinbird (59.125.46.247), 05/15/2017 10:19:42
60F:推 verdandy: 免費授權拿來公司用,防毒公司是可以告的 05/15 11:16
61F:推 D49361128: 居然拿免費授權企業使用 幫防毒公司QQ 05/15 11:56
62F:→ fgkor123: 安 缺人嗎XD 05/16 08:46
63F:→ fgkor123: 不過免費授權拿去公司用,被抓到可能真的要買三十套XD 05/16 08:48
64F:→ fgkor123: 看授權範圍 05/16 08:49