[技术原创] WanaCrypt0r勒索病毒:20款杀软主防测试

看到最近这个勒索这么火,手痒啦~
这个样本主要应该是靠漏洞传播,刚好合适我的测试环境,所以来测试一下看看各大杀软的主防是否有效。测试的方法照旧是锁库+断网(不再对这个测试方法回复,详情参照我之前的测试贴)。
这次用的大部分杀软都锁在2016年12月12日的库,虽然很早很早,但结果依然令人惊讶的好。测试环境:
VBox虚拟机,win7英文版SP1(未打补丁),各杀毒软件均采用默认设置,解压后直接双击运行病毒

样本下载:
http://bbs.kafan.cn/thread-2088985-1-1.html

测试结果:

防御成功的(会留下一些无害衍生物):
BitDefender Free(20161212):一声不吭就杀掉了,
Kaspersky Internet Security(20161212):被加密了一些后,主防杀,成功回滚
F-Secure Client Security(20161212):主防杀
Dr. Web Anti-Virus(20161212):启发杀,非常神奇(http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀)
Cybereason RansomFree(20161231,v2.1.1.0):成功拦截

Emsisoft Internet Security(20170104):智能HIPS杀,Emsisoft与其他杀软相比HIPS性质较强,需要更多人工参与,因此不作并列。

SandBoxie(v5.12):预期之内,即使是旧版本的沙盘,依旧不会被穿

检测到非法行为但拦截失败/后知后觉的:
Trend Micro(20161212)
GDATA(20161212)
这个都有弹窗,但是即使点block,文件都已经被加密

防御失败的(无反应被加密):
360杀毒+360卫士(20161212)
360 Total Security(20161212)
火绒(20161212)
费尔(20161212)
AVAST Internet Security(20170127,旧版)
AVAST Internet Security(20170210,IDP融合后的版本)
AVG Free(20161212)
HitManPro.Alert(3.6.1 Build 574)
McAfee Endpoint Security(20161220)
Symantec Endpoint Security(20161212)
AVIRA Free(20161212)
ESET Internet Security(20161219)

总结:

之前看到有人说,国外这些杀软大厂技术先进,可能领先几个月之多。
当时我不太相信,不过现在只能说,大写的服~
无论从哪个测试看,无疑卡巴和BD都是现在杀软大军中的超一流,这再次得到了验证。
这也再次证明了主防的必要性。
用5个月前的毒库和行为库斩杀了5个月后流行的病毒,事实胜于雄辩。
(可惜了我的AVG……不给力啊)
(ps:如果让exe入沙运行,AVG的IDP是会有弹窗拦截的,算是个小惊喜ww)
(pps:本次测试娱乐成分居多,结果仅供参考~)

截图:

防御成功的:

BDF:
自动草稿

KIS:
自动草稿

FSCS:
自动草稿

DrWeb AV:
自动草稿

Cybereason RansomFree:
自动草稿

Emsisoft IS:
自动草稿

SBie:
自动草稿

后知后觉的:

TrendMicro:
自动草稿

自动草稿

GDATA:

自动草稿

自动草稿

防御失败的:

360杀毒+卫士:
自动草稿

360TS:
自动草稿

火绒:
自动草稿

费尔:
自动草稿

AVAST旧版:
自动草稿

AVAST新版:
自动草稿

AVG:
自动草稿

HMPA:
自动草稿

MES:
自动草稿

SEP:
自动草稿

AVIRA:
自动草稿
ESET:
自动草稿

自动草稿

 

 

原文链接:houtiancheng