Re: [情报] WanaCrypt0r勒索病毒：19款防毒主防测试 YuQilin PTT批踢踢实业坊

Re: [情报] WanaCrypt0r勒索病毒：19款防毒主防测试

楼主: YuQilin (神兽) 2017-05-16 23:22:56

http://bbs.kafan.cn/thread-2089134-1-1.html
原作者重新测试了WanaCrypt0r的一个变种,结果产生了一些变化,
测试条件和上一次的测试一样,
冻结防毒的版本和病毒数据库的日期为2016/12/12,
五个月前的旧版本,测试“当时”防毒的主防是否能防御WanaCrypt0r病毒.
以下节录原文重新测试的结果:
================
重测中成功防御的：
Kaspersky Internet Security（20161212）：同样是加密后回滚成功
F-Secure Client Security（20161212）：DG继续给力，在加密开始之前就拦截了
Cybereason RansomFree（20161231，v2.1.1.0）：防御成功
Symantec Endpoint Protection（20161212）：这次SEP成功B杀（启发杀），
算是有一个交代了
重测中在部分场景能够防御的：
HitManPro.Alert（3.6.1 Build 574）：与原测试结果一致。
如果是桌面和我的文档都放置私人文件，则能够防御，不过还是会弹出勒索GUI和替换桌面背景
如果是只有桌面有私人文件，则防御失败，无弹窗。
重测中防御失败的：
BitDefender Free（20161212）：这次是一声不吭被加密……
AVG Free（20161212）：防御失败
==============
如果长期观察样本测试,会发现每一家的防毒都会有被过的时候,
换一个样本,测试的结果可能就有差异.
即使这次重测依然成功防御的防毒软件,
在其他样本也还是可以见到破功的例子.
即使这次重测结果防御失败的防毒软件,
也不代表它就无法应付未来的其他变种.
“短时间”的“单一”测试会有侷限性,
我们很难依此判断防毒对于整体未知威胁的防御效果.
即使我们使用了长期测试下来,成绩稳定优秀的防毒软件,
也还是不能保证能够100%防御推陈出新的变种病毒,
即使防御率高达99%,刚好中的就是那1%,
对于中毒的使用者来说,再高的防御率也没有意义.
最重要的还是使用者要具备资讯安全的观念,
不管是开启信件,文件,连结,应用都要随保持警觉,
最重要的是有重大的安全性漏洞一定要记得修补,
还有勤做备份,才能真正远离勒索病毒的威胁.

作者: chiu0938 (啾-心情阴阴的) 2017-05-17 08:04:00

以前对卡巴的印象是强到宁可错杀一百不可纵放一个

作者: munsimli (口嫌体正直) 2017-05-17 07:15:00

在思考一个问题，BD、卡巴、诺顿、FS、Emsisoft与趋势的主防都很强大，但是都有无法防御的纪录，是否这时有档案回复机制的功能变得相对重要? 另卡巴的档案回复据说非常厉害，是否也仍有漏掉无法回复的纪录呢?

作者: gwofeng (宫山洋行) 2017-05-16 23:30:00

RansomFree是放档案陷阱式来对付勒索病毒那套吧

作者: modkk (魔德轲轲) 2017-05-16 23:32:00

正确观念推

作者: gwofeng (宫山洋行) 2017-05-16 23:32:00

不是有人测了说D槽不会保护，而且加密一些才吃到陷阱

作者: DINJIAPC (鼎家) 2017-05-16 23:34:00

彼特实测断网下有问题

作者: abram (科科) 2017-05-16 23:40:00

谢谢刚刚把BD换成RansomFree了

作者: abyz (妳们来吃烤鸡吧) 2017-05-16 23:47:00

BD不晓得是怎么被过的它的ATC不受断网影响吧以前用是这样一阵子没用了不知道现在还是不是这样

作者: shinkiro (Shinkiro) 2017-05-16 23:54:00

看来测一次不够,要测几次YA

作者: chiu0938 (啾-心情阴阴的) 2017-05-16 23:54:00

F-Secure不是BD的徒弟吗

作者: gwofeng (宫山洋行) 2017-05-16 23:55:00

F-Secure是芬兰的公司吧

作者: abyz (妳们来吃烤鸡吧) 2017-05-17 00:08:00

卡巴的rollback是一监控到可疑动作时就备份发现是恶意行为立刻干掉并回复原来样子不过system watcher模组是怎么判定

作者: flora11883 (台南肯茄茄) 2017-05-17 00:09:00

F-secure感觉满威的，有人想团购吗

作者: abyz (妳们来吃烤鸡吧) 2017-05-17 00:09:00

哪些行为是可疑的来做备份无人知晓只知道他们家的判定技术很威少有误判或失手战斗民族的机密@@

作者: Radiomir (Radiomir) 2017-05-17 00:11:00

主防强弱与吃资源与否成正相关, 如何取得平衡, 自己拿捏...

作者: abyz (妳们来吃烤鸡吧) 2017-05-17 00:15:00

F-Secure以前有OEM BD的引擎和病毒库(现在不知) 加上自己本身技术也不弱叠加起来所以一直很强悍但以前有吃资源问题

作者: gwofeng (宫山洋行) 2017-05-17 00:17:00

对吼，以前用过F-Secure不差，但就是多引擎技术超吃资源现在是效能过剩的时代应该没差了

作者: minamibaby (æœ‹æœ‹) 2017-05-17 00:24:00

我现在就是用F-Secure

作者: sdbb (帮我泡杯卡布奇诺) 2017-05-17 00:33:00

f-secure以前也用过卡巴的引擎

作者: danny0830 (丹尼) 2017-05-17 00:34:00

为何卡巴加密了还可以还原？

作者: abyz (妳们来吃烤鸡吧) 2017-05-17 00:35:00

其实现在几间大厂的主防、启发式侦测...等都朝轻量化在开发有多引擎多病毒库的融合的技术也都慢慢成熟所以并没想像中的吃资源了连我家里1.5Gram的XP旧机跑都不会很顿很顿了硬件效能过剩的时代为安全起见牺牲一点点效能装这些是必要d大卡巴应该是发现有可疑动作就做备份了才能发现是malware时一面干掉一面rollback原备份假如卡巴失手开始加密才动作那战斗民族再猛也不可能解RSA-2048还原原档只不过他们是怎么判断发现可疑动作怎么备份到底是用了什么黑科技能少有loss或误判做白工国内外很多人都想知道 @@a

作者: barlin (barlinckamc) 2017-05-17 01:44:00

能知道就可以出个防毒软件对抗卡巴了XD

作者: verdandy (无聊人) 2017-05-17 02:11:00

说实在现在浏览器很多分页开多一点就比卡巴还吃资源了

作者: TWeng (TWenG) 2017-05-17 02:56:00

不知道为什么我用卡巴会蓝画面，就改用BD了

作者: gamesame7711 (框框爱安安) 2017-05-17 03:01:00

奇怪赛门铁克原种杀不掉变种的反而杀掉了?

作者: abyz (妳们来吃烤鸡吧) 2017-05-17 04:29:00

卡巴的特点是很强大但小bug不少尤其新版刚出时总会出现些让人意想不到或无言的bug 通常等几个fix版后再装会比较稳卡巴充分反映出俄罗斯人的习性威猛但粗犷

作者: MVagusta (Dragster RR) 2017-05-17 15:38:00

不管哪家防毒用病毒码或档案回复都会有失误断网连网效果也不同所以才要多种防护像卡巴和趋势有资料保护趋势可以设定保护资料夹(叫做勒索克星...)来挡不安全的程式改里头的档案

作者: gwofeng (宫山洋行) 2017-05-17 15:50:00

趋势的保护资料夹功能，当病毒动到该资料夹，会中断病毒加密行为，并可终止病毒程式的常驻，但缺点就只能设一个资料夹来保护，希望改版后能设定复数资料夹

作者: fatstan (DPJ) 2017-05-17 21:27:00

原本的结果是趋势有提示通知但还是被加密了吧

继续阅读

[问题] 免费防毒谁与争锋?gg56 [问题] 每次开机都会出现一个应用程式叫我安装red0whale Re: [情报] WannaCrywdhongtw [求救] adwcleaner扫完之后 chrome灌不回来 QQjodawa [情报] 中国推出WannaCry文件恢复工具了！Schubert [情报] WannaCrytopgear7425 [问题] AVG Antivirus Free与VMware Playerhototogisu [问题] 学术网络电脑前用分享器pi2324 [情报] 刚刚发现疑似假FLASH网页xodd123456 [问题] 关于win7电脑更新nekobe5124