WanaCrypt0r勒索病毒：20款杀软主防测试【新增变种测试，结果有变】

makefr · 发表于 2017-5-18 13:49:08

本帖最后由 makefr 于 2017-5-18 13:47 编辑

看正文前，有几点先说明下：
这是转贴的20款杀软对WanaCrypt0r勒索病毒的主防御测试，而且是断网查杀，病毒库也不是最新的，原主贴测试时还没有出变种病毒。
原帖作者断网测试、还锁库在 2016，就是要模仿新变种勒索病毒释出，世上还没有任何软件识得的状况下，是否还拦得住。
这种测试挺有意义的，万一今日又有新的勒索病毒出现，还没有被资安厂商发现前，万一就入侵你系统内，软件是否能够防御的住，就是一大关键了。等到都入库了，联网谁都能够杀，但入库前，那些中奖的人可就真的倒楣了 ...

原文来自卡饭http://bbs.kafan.cn/thread-2089134-1-1.html
正文如下：

你们要的公平公正公开的测试来啦~
这次是AV- Comparatives的权威测试，采用爆发前不久的毒库对WannaCry进行测试
虽然也是断网……不过这个没得喷了吧~

http://weblog.av-comparatives.or ... annacry-ransomware/

结果如下：
Adaware Pro Security    Protected
Avast Free Antivirus          Protected
AVG Free Antivirus       Protected
AVIRA Antivirus Pro          Protected
Bitdefender Internet Security    Protected
BullGuard Internet Security    Protected
CrowdStrike Falcon Prevent    Protected
Emsisoft Anti-Malware    Protected
eScan Corporate 360    Protected
ESET Internet Security    Not protected
F-Secure SAFE       Protected
Fortinet FortiClient    Not protected
Kaspersky Internet Security    Protected
McAfee Internet Security    Not protected
Microsoft Security Essentials    Not protected
Panda Free Antivirus       Protected
Seqrite Endpoint Security       Protected
Tencent PC Manager          Protected
Symantec Norton Security    Protected
Trend Micro Internet Security    Protected
VIPRE Advanced Security for Home    Protected

刚刚看到样本区出现了一个过当下BD的变种，又来了兴趣，所以对部分杀软进行了重测

测试条件与原测试一致。

样本：
http://bbs.kafan.cn/thread-2089484-1-1.html

重测的结果如下，如果和原测试的结果叠加则更有说服力。名字前带星号的表示与原测试结果有区别。

重测中成功防御的：

Kaspersky Internet Security（20161212）：同样是加密后回滚成功

F-Secure Client Security（20161212）：DG继续给力，在加密开始之前就拦截了

Cybereason RansomFree（20161231，v2.1.1.0）：防御成功

※Symantec Endpoint Protection（20161212）：这次SEP成功B杀（启发杀），算是有一个交代了

重测中在部分场景能够防御的：

HitManPro.Alert（3.6.1 Build 574）：与原测试结果一致。
如果是桌面和我的文档都放置私人文件，则能够防御，不过还是会弹出勒索GUI和替换桌面背景
如果是只有桌面有私人文件，则防御失败，无弹窗。

重测中防御失败的：

※BitDefender Free（20161212）：这次是一声不吭被加密……
※Dr. Web Anti-Virus（20161212）：这次启发不到了……启发的宝座让给SEP了

AVG Free（20161212）：防御失败

————————————————我是吐槽的分割线——————————————————

吐槽一下：

本文被驱动之家、cnBeta等各类新闻网站在无通知、无署名的情况下引用、转载
本来这已经够神烦的了……
然后360的公关部看到了这些抄袭的稿子，并表示本文是”黑稿“……
嗯……如此一个清清楚楚的测评也是恶意黑360的呢~
厉害，佩服

———————我是原文的分割线——————————————————

HMPA的测试结果有变，请参照后文

原文：

看到最近这个勒索这么火，手痒啦~
这个样本主要应该是靠漏洞传播，刚好合适我的测试环境，所以来测试一下看看各大杀软的主防是否有效。

测试的方法照旧是锁库+断网（不再对这个测试方法回复，详情参照我之前的测试贴）。
这次用的大部分杀软都锁在2016年12月12日的库，虽然很早很早，但结果依然令人惊讶的好。

测试环境：
VBox虚拟机，win7英文版SP1（未打补丁），各杀毒软件均采用默认设置，解压后直接双击运行病毒

样本下载：
http://bbs.kafan.cn/thread-2088985-1-1.html

测试结果：

防御成功的（会留下一些无害衍生物）：
BitDefender Free（20161212）：一声不吭就杀掉了，
Kaspersky Internet Security（20161212）：被加密了一些后，主防杀，成功回滚
F-Secure Client Security（20161212）：主防杀
Dr. Web Anti-Virus（20161212）：启发杀，非常神奇（http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀）
Cybereason RansomFree（20161231，v2.1.1.0）：成功拦截

Emsisoft Internet Security（20170104）：智能HIPS杀，Emsisoft与其他杀软相比HIPS性质较强，需要更多人工参与，因此不作并列。

SandBoxie（v5.12）：预期之内，即使是旧版本的沙盘，依旧不会被穿

在部分场景能够防御的：
HitManPro.Alert（3.6.1 Build 574）：如果只在桌面放置供加密的文档、照片等勒索目标，则HMPA无反应；但是如果同时在我的文档中也放置个人文件，则HMPA可以成功防御

检测到非法行为但拦截失败/后知后觉的：
Trend Micro（20161212）
GDATA（20161212）
这个都有弹窗，但是即使点block，文件都已经被加密

防御失败的（无反应被加密）：
360杀毒+360卫士（20161212）
360 Total Security（20161212）
火绒（20161212）
费尔（20161212）
AVAST Internet Security（20170127，旧版）
AVAST Internet Security（20170210，IDP融合后的版本）
AVG Free（20161212）
McAfee Endpoint Security（20161220）
Symantec Endpoint Protection（20161212）
AVIRA Free（20161212）
ESET Internet Security（20161219）

总结：

之前看到有人说，国外这些杀软大厂技术先进，可能领先几个月之多。
当时我不太相信，不过现在只能说，大写的服~
无论从哪个测试看，无疑卡巴和BD都是现在杀软大军中的超一流，这再次得到了验证。
这也再次证明了主防的必要性。
用5个月前的毒库和行为库斩杀了5个月后流行的病毒，事实胜于雄辩。
（可惜了我的AVG……不给力啊）
（ps：如果让exe入沙运行，AVG的IDP是会有弹窗拦截的，算是个小惊喜ww）
（pps：本次测试娱乐成分居多，结果仅供参考~）

截图：

防御成功的：

BDF：