看板 Gossiping
作者 s920361 (糊塗先生)
標題 [新聞] WanaCrypt0r勒索病毒:20款殺軟主動防禦測試
時間 Tue May 16 00:56:27 2017


1.媒體來源:
techbang


2.完整新聞標題:
決戰WanaCrypt0r!中國網友拿19款防毒軟體練兵:斷網、不更新病毒碼,哪些防毒軟體主動防禦成功?


3.完整新聞內文:
雖然WanaCrypt0r利用了的漏洞工具「永恆之藍」,抓住Windows的漏洞來進行入侵,造成災情相當慘重。而且,對於這種系統漏洞,就算是防毒軟體也不一定能夠阻擋這些攻擊,不過,所謂養兵千日,用在一時,相信很多人還是很疑惑,到底裝了防毒軟體是否能對付WanaCrypt0r呢?

這名網友在中國的卡飯論壇的安全區發表了以下內容,大意如下:
---------------------------------------------
看到最近這個勒索這麼火,手癢啦~
這個樣本主要應該是靠漏洞傳播,剛好合適我的測試環境,所以來測試一下看看各大殺軟的主防是否有效。


測試的方法照舊是鎖庫+斷網(不再對這個測試方法回复,詳情參照我之前的測試貼)。
這次用的大部分殺軟都鎖在2016年12月12日的庫,雖然很早很早,但結果依然令人驚訝的好。

測試環境:
VBox虛擬機,win7英文版SP1(未打補丁),各殺毒軟件均採用默認設置,解壓後直接雙擊運行病毒
---------------------------------------------

根據這名網友的說明,大部分的防毒軟體主要都是用2016年12月12日的病毒更新,也就是舊的病毒碼,並且採用斷網的方式,將防毒軟體放在虛擬機器裡頭的Windows 7 SP1英文版環境,然後直接在虛擬環境中執行病毒。

為什麼要用舊的病毒碼?事實上這是有原因的,主要就是希望測試這些防毒軟體,在未知病毒的情況下,來看看到底能不能擋得下來這些未知的攻擊,也就是說,測試的是一般防毒軟體所謂「主動式防禦」、「啟發式殺毒」等的技術。

根據這名網友的測試,在19款軟體中,有7款能夠成功攔截。雖然說一半都不到,不過其實以這次利用系統漏洞的問題來說,這個結果其實已經算是不錯了。以下是通過測試的軟體(有些安裝的防毒軟體名稱、版本與國內可能不大一樣):

防禦成功的(會留下一些無害衍生物):
BitDefender Free(20161212):一聲不吭就殺掉了,
Kaspersky Internet Security(20161212):被加密了一些後,主防殺,成功回滾
F-Secure Client Security(20161212):主防殺
Dr. Web Anti-Virus(20161212):啟發殺,非常神奇(http://bbs.kafan.cn/thread-2088985-1-1.html的變種也能啟發殺)
WanaCrypt0r.Ransom №2 (17.05.12)_病毒样本区_安全区 卡饭论坛 - 互助分享 - 大气谦和! 帖子《WanaCrypt0r.Ransom №2 (17.05.12)》,,来自《病毒样本区》,安全区,《卡饭论坛》 ...

 
Cybereason RansomFree(20161231,v2.1.1.0):成功攔截
Emsisoft Internet Security(20170104):智能HIPS殺,Emsisoft與其他殺軟相比HIPS性質較強,需要更多人工參與,因此不作並列。
SandBoxie(v5.12):預期之內,即使是舊版本的沙盤,依舊不會被穿

在部分場景能夠防禦的:
HitManPro.Alert(3.6.1 Build 574):如果只在桌面放置供加密的文檔、照片等勒索目標,則HMPA無反應;但是如果同時在我的文檔中也放置個人文件,則HMPA可以成功防禦


檢測到非法行為但攔截失敗/後知後覺的:
Trend Micro(20161212)
GDATA(20161212)
這個都有彈窗,但是即使點block,文件都已經被加密


防禦失敗的(無反應被加密):
360殺毒+360衛士(20161212)
360 Total Security(20161212)
火絨(20161212)
費爾(20161212)
AVAST Internet Security(20170127,舊版)
AVAST Internet Security(20170210,IDP融合後的版本)
AVG Free(20161212)
McAfee Endpoint Security(20161220)
Symantec Endpoint Protection(20161212)
AVIRA Free(20161212)
ESET Internet Security(20161219)

在這結果中,最讓人驚訝的應該就是Bitdefender Free(Bitdefender Antivirus Free Edition )了吧!以一套免費的防毒軟體來說,竟然也能有效的防禦成功,誰說便宜沒好貨呢?

不過,有人成功,當然就會有人失敗。不過,在這位網友的測試中,其實失敗的原因不見得是防毒軟體不好,畢竟變因還很多,目前很多防毒軟體都有不同的版本,像是有些有所謂的「單機版」、「雲端版」的區別:所謂的單機版,就是把病毒庫放在本機端,然後什麼包山包海的功能可能都在電腦端上,但是缺點就是會影響電腦效能。而雲端版則是把大多數的功能都放在雲端上,減輕電腦的負擔,但是一離線就沒有用。

因此,在這位網友的測試中,當然引來了許多防毒廠商的不滿,抗議聲最大的就是360了:
http://i.imgur.com/3lYq3Yh.jpg
[圖]
 

不論如何,這個測試在攔截成功的部分,這些防毒軟體還是有相當的參考價值,有興趣的可以點選連結看這名網友的測試全文。
http://bbs.kafan.cn/thread-2089134-1-1.html
WanaCrypt0r勒索病毒:20款杀软主防测试【新增变种测试,结果有变】_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! 帖子《WanaCrypt0r勒索病毒:20款杀软主防测试【新增变种测试,结果有变】》,,来自《国外杀毒软件》,安全区,《卡饭论坛》 ...

 




4.完整新聞連結 (或短網址):
http://www.techbang.com/posts/51122-b...re-can-be-successfully-blocked
決戰WanaCrypt0r!中國網友拿19款防毒軟體練兵:斷網、不更新病毒碼,哪些防毒軟體主動防禦成功? | T客邦 - 我只推薦好東西
[圖]
雖然WanaCrypt0r利用了的漏洞工具「永恆之藍」,抓住Windows的漏洞來進行入侵,造成災情相當慘重。而且,對於這種系統漏洞,就算是防毒軟體也不一定能夠阻擋這些攻擊,不過,所謂養兵千日,用在一時,相信很多人還是很疑惑,到底裝了防毒軟體是否能對付WanaCrypt0r呢? ...

 


5.備註:
360防毒......唉!別人用的是去年的病毒庫,就為了測試能否抓到病毒庫裏面沒有的病毒,360防毒抓不到,就說是別人在黑他,我也是無言了.

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.115.204.214
※ 文章代碼(AID): #1P6Tt4Y3 (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1494867396.A.883.html
plamhuang: 現在誰還敢上論壇網站,衝第一個去死.....1F 05/16 00:58
estupid: 媽的八卦鄉民還狂推3602F 05/16 00:58
event1408472: 我用3603F 05/16 00:58
uhmeiouramu: 論壇網站上了會怎樣?自己手賤要點不明載點的XDDD4F 05/16 00:59
x6urvery: 新聞報這麼大 那些失敗的多少都可以了5F 05/16 00:59
aresa: 那是因為沒裝hao123才沒有防禦功能,被綁架之前先被綁架6F 05/16 00:59
seemoon2000: 360這幹甚麼阿 最強練蠱軟體竟然檔不住7F 05/16 00:59
CharleneTsai: 推實驗8F 05/16 01:00
seemoon2000: 真的是不枉我家每套電腦都買卡巴來裝9F 05/16 01:00
bill403777: 抄一抄10F 05/16 01:00
industrialld: 大蜘蛛11F 05/16 01:00
f8954017: 360表示:我這是把它吸進來增強自已的強度,你懂什麼12F 05/16 01:01
guitar0225: 360殞落13F 05/16 01:02
kokokko416: 金山獨霸唯我獨尊14F 05/16 01:02
dan5120: 比特方得好用 舊電腦也順順跑15F 05/16 01:02
sixpoint: avast也抓不到誒 怕怕的16F 05/16 01:02
poi96300: 卡巴沒白買了17F 05/16 01:02
moonlind:         這次的勒索病毒是蠕蟲吧 不手賤還是會被侵入啊18F 05/16 01:03
free120: 360當然是最強的 WanaCrypt0r都沒他毒19F 05/16 01:04
RevanKai: 小紅傘......20F 05/16 01:04
diskdie7045: 360要搭hao123才表現出價值21F 05/16 01:04
saccharina: 未看先猜hao123網頁搭配360防衛戰士22F 05/16 01:04
bye296lctc: hao123:我被邊緣化喔23F 05/16 01:05
saccharina: 用360戰士後 綁架者的網頁被hao123綁架24F 05/16 01:05
jetzake: 堅定支持卡巴司機的我從來沒有失望過25F 05/16 01:06
industrialld: 大蜘蛛和比特防毒不意外都很強26F 05/16 01:06
kiv9137: 360不是監控軟體嗎,甚麼時候能防毒了 Kappa27F 05/16 01:07
GARIGI: 蛤我用AVG和AVAST!!驚恐中⊙⊙28F 05/16 01:07
proprome: 小紅傘會不會太慘29F 05/16 01:10
Xras: 殺軟是什麼鬼…30F 05/16 01:10
ttsieg: 改裝bit囉!!31F 05/16 01:13
hw1: 哈哈360哈哈32F 05/16 01:15
wholewing: BitDefender Free(20161212):一聲不吭就殺掉了
這麼神勇?馬上在舊電腦上試33F 05/16 01:15
sid300: 是誰說要用360的35F 05/16 01:16
HateSHE: 哈哈趨勢哈哈36F 05/16 01:22
qui0914: 最近新聞還一直訪問趨勢的專家,感覺相當諷刺啊...37F 05/16 01:27
ev331: 小紅傘也不行哦 靠 趨勢科技可以嗎38F 05/16 01:29
jehow: 誰知是不是BitDefender內部有關係的人做這支的39F 05/16 01:29
HateSHE: 回ev331  趨勢失敗了啊40F 05/16 01:30
passerby2: 今天我的趨勢突然開不起來了!該考慮bit了嗎?41F 05/16 01:30
HateSHE: 「檢測到非法行為但攔截失敗/後知後覺的」第一個就趨勢42F 05/16 01:30
blaz: 看來 Dr. Web 這俄羅斯的也頗能打43F 05/16 01:31
Gyannor: 360..44F 05/16 01:32
passerby2: 不過趨勢還是有抓到(在沒有病毒碼的情況下),只是已經來不及了
比完全沒發現要好45F 05/16 01:34
f8954017: 去論壇看了一下,這種時候哪個好大家的身體都很誠實
不過360還發了個聲明,實在是自曝其短啊,呵呵48F 05/16 01:36
jeter17: 我都拔掉網路一勞永逸嘻嘻50F 05/16 01:38
iosian: 中國傳統蠱術果然不能實戰51F 05/16 01:39
modkk: 中國人自己都笑360了,不意外啦52F 05/16 01:44
F0314: 每年都買卡巴還是有效果的53F 05/16 01:44
suifong: ESET沒反應……54F 05/16 01:49
wtfconk: 三六○真是完美詮釋了何謂玻璃心...55F 05/16 01:51
best159357: 大蜘蛛這麼強 真沒想到56F 05/16 01:52
f8954017: 個人是用FS,這個真的是萬物殺(寧殺錯不放過),有些對57F 05/16 01:52
wtfconk: 小紅傘全滅QQ58F 05/16 01:53
f8954017: 岸改過的程式(非毒),只要是碰到設定檔就是殺59F 05/16 01:54
rTKc: 靠腰 我還花錢買eset60F 05/16 01:55
f8954017: 把FS關掉才能裝(而且從裝了到反安裝都很正常)61F 05/16 01:55
supertalker: 要準備uninstall avast了嗎? 我用好幾年了62F 05/16 02:01
kiwi0530: 好文感恩63F 05/16 02:05
f8954017: 比較意外的是ESET,avast和小紅傘(畢竟長期以來名聲很好64F 05/16 02:05
windy041: 我小紅傘還專業版65F 05/16 02:14
gpctv: 360根本就標準426精神66F 05/16 02:29
kmtlikeslave: 卡巴司機居然這麼威嗎?67F 05/16 03:50
s860134: 小紅傘GG~ 來換68F 05/16 05:31
wolver: 卡車司機一直都很威  只是資源吃很大而已69F 05/16 07:07
chiguang: 360跟123絕對可以70F 05/16 07:32
XXXXSOW: 廢文 唯一支持36071F 05/16 07:37
capdie159753: 要hao123+360衛士殺毒+金山毒吧+百度殺毒一起搭配才好用72F 05/16 07:39
iComeInPeace: 小紅傘廢很久了,另外卡巴根本不吃資源好嘛
你要嗎是硬體超舊,不然就是卡巴版本超舊74F 05/16 07:53
q14721472: 有疑慮的全殺 也能算殺成功嗎76F 05/16 08:03
hero0211: 以毒攻毒77F 05/16 08:04
wsx26997785: 伊莉那次勒索木馬  卡巴直接殺了78F 05/16 08:07
system303179: 這是抄AV版的嗎?怎麼詞都一模一樣79F 05/16 08:10
photoB1N: Wannacry是不是拼錯啊?80F 05/16 08:21
chichung: 完全沒有小紅傘也太慘81F 05/16 08:32
xinyuxiao: 對360失望82F 05/16 08:36
vcyc: 360本來就是垃圾啊ww83F 05/16 08:46
Nravir: bit free真得很強~他也能攔截網路上的病毒...占用空間很小84F 05/16 09:37
PODCAT: 360是抗議說hao123才是最強的病毒85F 05/16 09:38
Nravir: free的缺點!?...他很有效率~你得知有病毒前先把他殺惹
你覺得沒毒自己弄個白單,完全適合給懶人用~86F 05/16 09:38
NKAC: comodo<我怎麼沒上場?88F 05/16 10:22
Alwen: comodo對一般人來說不太適合89F 05/16 10:50
recruit: comdo根本就hips吧 普通人不會設定90F 05/16 10:53
Butcherdon: 360以毒攻毒 懂?91F 05/16 11:00
ste926: 那被360綁架可以靠這個勒索病毒殺掉ㄇQQ92F 05/16 11:23
f124: 金山毒爸將成最終贏家93F 05/16 11:24
tokoso2012: 趨勢優勢一直以來都在網路防毒吧? 掃殺毒不算強項把94F 05/16 11:29
Stanley70412: 用過卡巴就回不去了95F 05/16 12:08
Anauma: 比特威武!96F 05/16 12:23
mcho1831: ESET QQ97F 05/16 13:11
zxcv4321: 2016年12月12日 用這舊的誤導?98F 05/16 15:04
SHIU0315: 360是監控用的啦 殺毒殺個屁99F 05/16 16:32
legendrl: 除了comodo,其他的都是在浪費時間100F 05/16 17:52
monkeyqoo: 我一直都是用小紅傘免費版....至今還沒中毒過 真是萬幸101F 05/17 00:41

--
--
(s920361.): [新聞] WanaCrypt0r勒索病毒:20款殺軟主動防禦測試 - Gossiping板