看到最近这个勒索这么火,手痒啦~
这个样本主要应该是靠漏洞传播,刚好合适我的测试环境,所以来测试一下看看各大杀软的主防是否有效。测试的方法照旧是锁库+断网(不再对这个测试方法回复,详情参照我之前的测试贴)。
这次用的大部分杀软都锁在2016年12月12日的库,虽然很早很早,但结果依然令人惊讶的好。测试环境:
VBox虚拟机,win7英文版SP1(未打补丁),各杀毒软件均采用默认设置,解压后直接双击运行病毒
样本下载:
http://bbs.kafan.cn/thread-2088985-1-1.html
测试结果:
防御成功的(会留下一些无害衍生物):
BitDefender Free(20161212):一声不吭就杀掉了,
Kaspersky Internet Security(20161212):被加密了一些后,主防杀,成功回滚
F-Secure Client Security(20161212):主防杀
Dr. Web Anti-Virus(20161212):启发杀,非常神奇(http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀)
Cybereason RansomFree(20161231,v2.1.1.0):成功拦截
Emsisoft Internet Security(20170104):智能HIPS杀,Emsisoft与其他杀软相比HIPS性质较强,需要更多人工参与,因此不作并列。
SandBoxie(v5.12):预期之内,即使是旧版本的沙盘,依旧不会被穿
检测到非法行为但拦截失败/后知后觉的:
Trend Micro(20161212)
GDATA(20161212)
这个都有弹窗,但是即使点block,文件都已经被加密
防御失败的(无反应被加密):
360杀毒+360卫士(20161212)
360 Total Security(20161212)
火绒(20161212)
费尔(20161212)
AVAST Internet Security(20170127,旧版)
AVAST Internet Security(20170210,IDP融合后的版本)
AVG Free(20161212)
HitManPro.Alert(3.6.1 Build 574)
McAfee Endpoint Security(20161220)
Symantec Endpoint Security(20161212)
AVIRA Free(20161212)
ESET Internet Security(20161219)
总结:
之前看到有人说,国外这些杀软大厂技术先进,可能领先几个月之多。
当时我不太相信,不过现在只能说,大写的服~
无论从哪个测试看,无疑卡巴和BD都是现在杀软大军中的超一流,这再次得到了验证。
这也再次证明了主防的必要性。
用5个月前的毒库和行为库斩杀了5个月后流行的病毒,事实胜于雄辩。
(可惜了我的AVG……不给力啊)
(ps:如果让exe入沙运行,AVG的IDP是会有弹窗拦截的,算是个小惊喜ww)
(pps:本次测试娱乐成分居多,结果仅供参考~)
截图:
防御成功的:
BDF:
KIS:
FSCS:
DrWeb AV:
Cybereason RansomFree:
Emsisoft IS:
SBie:
后知后觉的:
TrendMicro:
GDATA:
防御失败的:
360杀毒+卫士:
360TS:
火绒:
费尔:
AVAST旧版:
AVAST新版:
AVG:
HMPA:
MES:
SEP:
AVIRA:
ESET:
原文链接:houtiancheng |