電腦安全 - WannaCry 勒索病毒 : 20 款防毒軟體 主動防禦測試 - 電腦

前往內容


WannaCry 勒索病毒 : 20 款防毒軟體 主動防禦測試

各位好。

最近這幾天席捲全世界,尤其台灣也是重災區的 WannaCry(想哭) 勒索病毒,
想必許多人都會問,除了修補系統與軟體的漏洞之外,
身為系統安全最後一道防線的防毒軟體,究竟能不能替我們擋住未知的勒索病毒威脅 ?

昨天晚上我在中國知名討論資安的論壇 卡飯論壇,
看到一篇相當有意思的測試,小弟經過原作者允許,
稍微修飾與排版,並修改成一些台灣習慣的用字遣詞,
貼給各位參考

文章來源 : [技術原創] WanaCrypt0r勒索病毒:20 款殺軟主防測試
原作者 : houtiancheng

請注意 !
這個測試是將所有防毒軟體的時間凍結在 2016/12/12 日,
包含所有的病毒資料庫、引擎等,並且禁止所有網路連線。

其目的是為了模擬各家防毒軟體,遇上未知的威脅,是否能有效防禦勒索病毒的行為

在 2016/12/12 的時候,這隻 WannaCry(想哭) 勒索病毒應該是還不存在的,
透過這種方式,模擬各家防毒軟體,如果在未來的時候面臨勒未知的索病毒攻擊時,
能否有效發揮自家的主動式防禦,正確偵測出勒索病毒的惡意行為,並且阻止。

------------------

更新 : 2017/05/15 19:00
由於 HitmanPro.Alert 開發者提出解釋,
原作者重新測試之後,發現結果有改變,
本文一併按照原作者測試結果更新。

------------------


以下是該文章正式內容 :


======================================

看到最近這個勒索這麼火,手癢啦~
這個樣本主要應該是靠漏洞傳播,剛好合適我的測試環境,
所以來測試一下看看各大防毒軟體的主防是否有效。


測試的方法照舊是鎖庫+ 斷網(不再對這個測試方法回覆,詳情參照我之前的測試貼)。
這次用的大部分防毒都鎖在2016年12月12日的庫,雖然很早很早,但結果依然令人驚訝的好。

測試環境:
VBox 虛擬機,Windows 7 英文版SP1(未更新),各防毒軟體均採用預設值設定,
解壓後直接雙擊執行病毒

樣本下載:
http://bbs.kafan.cn/thread-2088985-1-1.html



測試結果:


防禦成功(會留下一些無害衍生物):

BitDefender Free(20161212):(比特凡德 免費版)
一聲不響就殺掉了



Kaspersky Internet Security(20161212):(卡巴斯基 網路安全套裝)
被加密了一些檔案後,主動防禦發現威脅並移除,並成功復原遭加密的檔案




F-Secure Client Security(20161212):(芬安全)
主動式防禦發現威脅並移除




Cybereason RansomFree(20161231,v2.1.1.0):(這軟體只有防勒索功能,不能算防毒軟體)
成功攔截攻擊




Emsisoft Internet Security(20170104):
智慧型 HIPS 發現威脅,並提示疑似為勒索病毒,依照建議阻止並隔離




Dr. Web Anti-Virus(20161212):(大蜘蛛)
啟發式分析,偵測到威脅並刪除
(根據原作者說明,連變種的也能夠偵測到)




SandBoxie(v5.12):(沙盒)
成功防禦。
(作者表示預期之內,即使是舊版本的沙盒,依舊不會被攻破)





----------------------------



在部分狀況能夠防禦的:



HitManPro.Alert(3.6.1 Build 574):
系統內至少需要在不同地點儲存私人文件檔案,HMPA 才會有動作。
若只有在桌面上放檔案、圖片,則不會有反應。

只有在桌面上放檔案 (失敗)



除了桌面,其他地方也放上私人檔案後 (成功防禦)







----------------------------


檢測到惡意行為,但防禦失敗(後知後覺)的:


Trend Micro(20161212):(趨勢科技)
跳出警告視窗,但即使選擇封鎖,文件檔案依舊被加密綁架





GDATA(20161212):
同樣都有警告訊息,但是即使點封鎖,文件檔案依舊被加密綁架






----------------------------



防禦失敗(無反應且檔案被加密):


360殺毒+360衛士(20161212):(中國版 360)



360 Total Security(20161212):(國際版 360)




火絨(20161212):(中國火絨)




費爾(20161212):(中國費爾托斯特)




AVAST Internet Security(20170127,舊版):(Avast 網路安全、舊版本)




AVAST Internet Security(20170210,IDP融合後的版本):(Avast 網路安全、新版本)




AVG Free(20161212):




McAfee Endpoint Security(20161220):(邁克菲、賣咖啡)




Symantec Endpoint Security(20161212):(賽門鐵克)




Avira Free(20161212):(小紅傘、免費版)




ESET Internet Security(20161219):(ESET、NOD32)



----------------------------


總結:

原作者 :
之前看到有人說,國外這些防毒大廠技術先進,可能領先幾個月之多。
當時我不太相信,不過現在只能說,事實勝於雄辯 ~
無論從哪個測試看,無疑卡巴斯基和比特凡德都是現在防毒大軍中的超一流,這再次得到了驗證。
這也再次證明了主動式防禦的必要性。

用5個月前的病毒資料庫和行為資料庫斬殺了5個月後流行的病毒,事實勝於雄辯。
(可惜了我的AVG……不給力啊)
(ps:如果讓exe入沙盒執行,AVG 的IDP 技術是會有警告攔截的,算是個小驚喜ww)
(pps:本次測試娛樂成分居多,結果僅供參考~)




=============================

我個人的補充 :

首先感謝 卡飯的 houtiancheng 協助測試這麼多款的防毒軟體 ~

在現今這麼多防毒軟體都在宣稱自己是最佳的選擇,
並且都大肆宣傳可以抵禦勒索病毒的狀況下,
究竟那些防毒軟體可以真正靠軟體本身的防禦能力,
來抵禦未知、或者變種的勒索病毒,
而不是單純只靠發現後才列入黑名單的消極做法,有相當的參考意義。


每一家的防毒軟體的廠商,辨識病毒並將病毒的資料輸入到資料庫,列入黑名單,
然後使用者在透過網路更新防毒軟體的病毒碼,這都是需要一段時間的。
如果說有人在這段時間內就不幸中了新的、變種的勒索病毒,
那就很有可能在防毒軟體還無法正式辨識之前,就會中獎了。

所以不論防毒廠商的更新速度在怎樣的快,
還是有可能會有段空窗期 ~
之前在伊莉論壇的假 Flash 更新檔(木馬),就是一個例子,
許多防毒軟體將假更新檔(木馬)列入病毒資料庫的速度不夠快。

從上面例子來看,主動式的防禦能力還是有其必要,
主動式防禦能夠在防毒軟體認識這隻病毒之前,
就能先注意到可疑的行為,並且成功地阻止,並建議使用者處理。

由 houtiancheng 的測試可以看出每一家防毒軟體的主動式防禦,
誰的防禦能力比較佳,誰的比較弱,誰甚至完全沒有,應該都很清楚了


不過我還是要說 :
請注意 ! 這項測試只是提供各位一個參考,絕對不是防毒軟體的優劣排名
也不是非常嚴謹的一項測試,都是僅供參考而已 ~

在現今勒索病毒肆虐的環境之下,
除了一定要做好系統漏洞的更新、軟體的更新之外,
慎選系統最後一道防護,也是應該考量的地方。


像是我自己選擇的就是 Emsisoft 這一套,
除了非常省系統資源,且採用雙引擎、雙資料庫,
加上強大的主動式防禦系統(Behavior Blocker),
真的是我近期用過讓我非常滿意的防毒軟體
如果對 Emsisoft 有興趣的,可以參考我以前發的文章(點我)



這裡替大家省些時間,如果說有人有對這幾家表現好的防毒軟體有興趣,
文末提供這次表現較佳的幾家防毒軟體下載連結 :
(下載點均為官方網站)

BitDefender Free (比特凡德、免費版)

Kaspersky Internet Security (卡巴斯基 安全軟體、30天試用)

F-Secure Internet Security (芬安全 網路安全、30天試用)

Emsisoft Anti-Malware (無防火牆、30天試用)
Emsisoft Internet Security (含防火牆、30天試用)

Dr.Web Anti-virus (無防火牆、30天試用)
Dr.Web Security Space (全功能、30天試用)



更新補充 :

Q.
為什麼沒有 XXX 防毒、XXX 廠牌的測試 ?
是不是在圖利特定廠商 ?

A.
由於這是該位作者在半年之久以前,透過虛擬機的系統保存了這幾家防毒軟體的狀態,
但礙於作者本身硬碟空間限制&時間,不可能把所有防毒軟體都測試一遍。

再加上時間是不可能往回走,
所以也不可能在現在 2017年的時候安裝 XX 廠牌防毒軟體來測試,
畢竟已經無法取得 2016 年的病毒碼資料庫。
用最新的資料庫來測試就失去公平性了。


文章更新時間&內容 :
2017/05/15、19:20 => 修正 HitmanPro.Alert 測試結果
2017/05/16、19:30 => 修正 Emsisoft 相關文字敘述、錯字修正
謝謝大大分享

不知哪一款軟體
能偵測到後移除病毒
並能恢復檔案解鎖?


我HDD是舊變種....有解嗎?



目前SSD也有被鎖起來.....好在有燒成DVD備份

DVD還有可能被嘞鎖鎖住?
小弟使用的AVAST Internet Security有點...
最近又續約使用2年了
在想不要把防火牆改用COMODO firewll...
KevinYu0504 wrote:
各位好。最近這幾天...(恕刪)


太感激了。不知微軟本身的MSE防毒軟體能不能擋?
Win7 X64

windj wrote:
謝謝大大分享不知哪...(恕刪)

windj wrote:
不知哪一款軟體
能偵測到後移除病毒
並能恢復檔案解鎖?
我HDD是舊變種....有解嗎?


請詳閱這一篇 :
關於勒索病毒的常見問題與說明(內詳) -5/13更新

該篇文章下方有辨識勒索病毒的方式,
以及是否有機會解鎖檔案的機會。

shille wrote:
小弟使用的AVAST Internet Security有點...
最近又續約使用2年了
在想不要把防火牆改用COMODO firewll...


Avast 還是一款很不錯的防毒軟體,
其實也不必為了幾個測試表現不佳就對他這麼沒麼沒信心

不見棺材不掉淚 wrote:
太感激了。不知微軟本身的MSE防毒軟體能不能擋?
Win7 X64


礙於系統核心的不同,
Windows 10 上的 Windows Defender 效果會比
Windows 7 上的 MSE 來的更好,因為 W10 的核心有跟 WD 優化過。

然而 Windows Defender (或 MSE) 幾乎是沒有主動式防禦的,
換句話說如果今天是新的威脅或者勒索病毒出現,
在 MSE 還沒有發現並加入到病毒庫之前,使用者即使掃描他也會顯示安全,
更別提如果執行會發生什麼事情了
好多年沒裝防毒軟體,有定期重灌習慣
看到勒索病毒出現有點害怕

本來正想買 PCC 2017 防毒軟體3年
看卡飯介紹後,Emsisoft 打算購買

我路由器分享沒防火牆,不過家用電腦就我一個和幾台移動設備,其實沒差
平常用chrome + adblock
也養成習慣 降低中毒機率
再配合win10 正版更穩
前幾天半夜win10強制更新,隔幾天就爆出勒索病毒
要是換成以前的舊系統肯定中獎

Emsisoft Anti-Malware
路由器有防火牆
家裡只有簡單幾人非常單純,沒重要機密

Emsisoft Internet Security 有防火牆版本 機密資料者佳
連公共wifi,飯店、酒店,接觸陌生人,外出平板、筆記電腦

先享受30天試用期
謝謝! 大家一起加油吧!
還是沒辦法

HDD
是BF63
用網頁那測試找....變種

SSD
A3A5
也用網頁測試.....變種


所以用卡巴.ESTT等
解鎖小程式也等於也沒辦法瞜
是嗎?
其實卡飯跟01 巴哈看那麼久...

然後自己試用幾套防毒後...明顯會有網頁開啟延遲問題,都是有體感的

不過各大討論區都沒有提到這個問題,我還覺得滿奇怪的...

所以最後就選跑起來最順的PCC2017了,不過這個在卡飯提到吃CPU跟RAM還有DUMP問題滿嚴重的...我自己是照他教學關DUMP了...


BDIS 2017跑網頁最卡...KIS 2017也是不定時會小卡...PCC2017就順暢很多...不過這是我的環境,也許是我設定不良...

不然KIS 序號還有800多天,其實也只能期待2018能改善延遲問題了


看這個後是對PCC2017主防有點不信任,不過我記得PCC好像主打雲端防護,不斷網應該是不會跟KIS差多少才是吧?

1頁 (共21頁)

前往