際際滷

際際滷Share a Scribd company logo

Test ransomware

Anatoliy Tkachev
Anatoliy Tkachev
1 of 5
Download to read offline
TESTRANSOMWARE datatestu:kwiecie2013
1 Test ransomware Niniejszy dokument zawiera informacje na temat przeprowadzonego testu pod ktem blokowania zagro甜e ransomware. WSTP 1. W jakim celu zosta przeprowadzony test? O dziwo test nie mia na celu zbadania tylko wykrywalnoci zagro甜e ransomware. Tak naprawd chodzio nam o co innego jak i czy w og坦le producenci reaguj na takie zagro甜enia wraz z biegiem czasu, i tym samy przyczyniaj si do dbania o wasny wizerunek oraz bezpieczestwa i witego spokoju u甜ytkownika. Wirusy ransomware to jedne z najbardziej powszechnych i najdokuczliwszych rodzaj坦w zagro甜e, jakie napotka mo甜na w sieci. Blokuj one pulpit klienta, wywietlajc monit o koniecznoci zapaty kary za rzekome naruszenie praw autorskich, udostpnianie treci pornograficznych czy rozsyanie spamu. Nie dajcie si zwie! Jest to zwyczajna podr坦bka i nie ma ona niczego wsp坦lnego z prawdziw policj. Tego typu szkodliwe programy szyfruj dane na dysku 甜dajc opaty za otrzymanie klucza, kt坦ry pozwoli je odszyfrowa. Pod 甜adnym pozorem nie nale甜y paci jakiegokolwiek okupu. Pomimo, 甜e siatka cyberprzestpc坦w podszywajcych si pod policj zostaa rozbita, dalej mo甜emy podczas surfowania w Internecie natkn si na ransomware. Jak gang cyberprzestpc坦w zosta rozbity pisalimy tutaj. 2. Jakie zagro甜enia wybralimy do testu? Czytelniku, nie nie wybralimy do testu zagro甜e zero day (czytaj co to jest zero day). Byoby to zbyt proste (prawie wszystkie programy antywirusowe nie zablokowaby zagro甜e) dla nas. Wirusy miay od kilku dni do 3 miesicy. a) 1.exe - analiza wg VirusTotal b) 2.exe - analiza wg VirusTotal c) 3.exe - analiza wg VirusTotal d) 4.exe - analiza wg VirusTotal e) 5.exe - analiza wg VirusTotal U甜ytkownicy zainteresowani testowaniem program坦w antywirusowych mog si dziwi, dlaczego tak a nie inaczej postanowilimy sprawdzi programy antywirusowe. Prosimy o wyrozumiao i zrozumienie. CO TO JEST RANSOMWARE? G坦wnym zadaniem ransomware (z jzyka ang. ransom okup) jest szyfrowanie danych dostpnych na dysku, do kt坦rych dostp jest wielce utrudniony dla u甜ytkownik坦w nie posiadajcych specjalistycznej wiedzy w usuwaniu tego typu zagro甜e. Ransomware nadpisuje powok explorer wywietlajc wasny ekran blokady z informacj o krokach jakie powinien podj u甜ytkownik w celu odzyskania danych. Zablokowany komputer przez ransomware.
2 Test ransomware WSTP DO TESTU Testowane wersje program坦w byy pobierane ze stron producenta, aktualizowane do najnowszych wersji przed rozpoczciem testu oraz zainstalowane z domylnymi ustawieniami. Platforma testowa to wirtualne maszyny z systemem Windows 7 x32 Home Premium z aktualizacjami krytycznymi na dzie 20 kwietnia 2014. Zapora systemowa oraz Windows Defender byy wyczone. Materia badawczy do testu dostarcza malware.pl METODOLOGIA 1. Instalacja programu na domylnych ustawieniach. 2. Aktualizacja do najnowszych wersji plik坦w oraz baz sygnatur. 3. Ponowne uruchomienie systemu. 4. Uruchamianie plik坦w i sprawdzenie ochrony w czasie rzeczywistym. 5. Zapisanie wynik坦w. TESTOWANE WERSJE PROGRAMW Nazwa Wersja Pass / Fail ArcaVir Internet Security 2013 Zainfekowany system przez pliki: 1,2,3.exe 13.02.3201 2 Avira Internet Security 2013 13.0.0.3492 5 Avira Free 13.0.0.3492 5 avast! Internet Security 8 Zainfekowany system przez pliki: 2.exe 8.0.1483 4 avast! Free Zainfekowany system przez pliki: 2.exe 8.0.1483 4 AVG Internet Security 2013 Zainfekowany system przez pliki: 1.exe 2013.0.29.04 4 AVG Free Zainfekowany system przez pliki: 2.exe 2013.0.29.04 4 Bitdefender Internet Security 2013 16.29.0.1830 5 Bitdefender Free 1.0.14.889 5 Comodo Internet Security 2013 6.1.275152.2801 5 Dr.Web Antivirus 8.0.8.04230 5 Emsisoft Antimalware 7 7.0.0.21 5
3 Test ransomware ESET Smart Security 6 6.0.306.7 5 eScan Internet Security 14 Uruchomienie plik坦w 2,3.exe powodowao zawieszenie systemu oraz nieoczekiwane restarty i bdy pamici. 14.0.1400.1364 3 F-Secure Internet Security 2013 1.77.243 5 FortiClient Free 5 Zainfekowany system przez pliki: 2.exe 5.0.2.225 4 G Data Internet Security 2014 24.0.1.1 5 Immunet PRO 3.0.8.9025 5 Immunet Free Zainfekowany system przez pliki: 2, 4.exe 3.0.8.9025 3 Kaspersky Internet Security 2013 13.01.4190(g) 5 Kingsoft Free 2012.5P5.6.121215 5 Malwarebytes Anti-Malware 1.75.0.1300 5 McAfee Internet Security 2013 12.1 5 Microsoft Security Essentials Zainfekowany system przez pliki: 2.exe 4.2.223 4 Norman Security Suite 10 Zainfekowany system przez pliki: 1,2.exe 10.00.0600 3 Panda Internet Security 2013 18.01.01 5 Panda Free 2.1.1 5 PcTools Internet Security 2013 Zainfekowany system przez pliki: 2,4.exe 2012(9.10.2900) 3 Norton Internet Security 2013 20.3.1.22 5 TrendMicro Internet Security 2013 6.0.1215 5 TrustPort Internet Security 2013 Zainfekowany system przez pliki: 2.exe 13.09.5102 4 Webroot SecureAnywhere Antivirus 2013 8.0.2.127 5 Vipre Internet Security 2013 Zainfekowany system przez pliki: 2.exe 6.2.1.10 4
4 Test ransomware UWAGI KOCOWE Wydawa by si mogo, 甜e ransomware nie powinien ju甜 stwarza problemu dla program坦w antywirusowych, kt坦re maj nas chroni przed m.in. tego typu zagro甜eniem. Detekcja na podstawie sygnatur odchodzi do lamusa, kt坦r ju甜 dawno zastpia analiza behawioralna oraz heurystyczna i to nawet w chmurze. Ransomware modyfikuje rejestr, kt坦ry w wikszoci przypadk坦w jest (powinien by) pod ochron programu antywirusowego na przykad TrustPorta, kt坦ry posiada Inspektor Aplikacji (monitor zachowawczy). W przypadku Avasta nie pomoga nawet piaskownica. Program nie wykry zagro甜enia a potencjalny u甜ytkownik musiaby si upora z zablokowanym systemem przez ransomware. Winy nie ponosz same aplikacje oferujc tak a nie inn ochron, ale tak甜e korzystajcy z tych aplikacji ludzie. Antywirus to tylko program zaprojektowany przez czowieka, a jego inteligentna ochrona jeszcze bardzo dugo nie zastpi ludzkiej. Tak wic, czy teraz patrzc na te wyniki, osoby u甜ytkujce programy, kt坦re dopuciy do infekcji maj je odinstalowa i zaopatrzy si w ochron innego producenta? W 甜adnym wypadku nie. Pamitajmy, 甜e nic nie zastpi zdrowego rozsdku podczas korzystania z bogatej skarbnicy Internetu. Kontakt w sprawie test坦w dla producent坦w: kontakt@avlab.pl Nie odpowiadamy na maile w sprawie testu wysane z prywatnych skrzynek pocztowych. Dyskusja dla u甜ytkownik坦w na temat testu bdzie toczy si na forum: www.avlab.pl/forum Dzikujemy za zapoznanie si z dokumentem oraz zapraszamy na nasze kolejne testy!

More Related Content

Test ransomware

  • 2. 1 Test ransomware Niniejszy dokument zawiera informacje na temat przeprowadzonego testu pod ktem blokowania zagro甜e ransomware. WSTP 1. W jakim celu zosta przeprowadzony test? O dziwo test nie mia na celu zbadania tylko wykrywalnoci zagro甜e ransomware. Tak naprawd chodzio nam o co innego jak i czy w og坦le producenci reaguj na takie zagro甜enia wraz z biegiem czasu, i tym samy przyczyniaj si do dbania o wasny wizerunek oraz bezpieczestwa i witego spokoju u甜ytkownika. Wirusy ransomware to jedne z najbardziej powszechnych i najdokuczliwszych rodzaj坦w zagro甜e, jakie napotka mo甜na w sieci. Blokuj one pulpit klienta, wywietlajc monit o koniecznoci zapaty kary za rzekome naruszenie praw autorskich, udostpnianie treci pornograficznych czy rozsyanie spamu. Nie dajcie si zwie! Jest to zwyczajna podr坦bka i nie ma ona niczego wsp坦lnego z prawdziw policj. Tego typu szkodliwe programy szyfruj dane na dysku 甜dajc opaty za otrzymanie klucza, kt坦ry pozwoli je odszyfrowa. Pod 甜adnym pozorem nie nale甜y paci jakiegokolwiek okupu. Pomimo, 甜e siatka cyberprzestpc坦w podszywajcych si pod policj zostaa rozbita, dalej mo甜emy podczas surfowania w Internecie natkn si na ransomware. Jak gang cyberprzestpc坦w zosta rozbity pisalimy tutaj. 2. Jakie zagro甜enia wybralimy do testu? Czytelniku, nie nie wybralimy do testu zagro甜e zero day (czytaj co to jest zero day). Byoby to zbyt proste (prawie wszystkie programy antywirusowe nie zablokowaby zagro甜e) dla nas. Wirusy miay od kilku dni do 3 miesicy. a) 1.exe - analiza wg VirusTotal b) 2.exe - analiza wg VirusTotal c) 3.exe - analiza wg VirusTotal d) 4.exe - analiza wg VirusTotal e) 5.exe - analiza wg VirusTotal U甜ytkownicy zainteresowani testowaniem program坦w antywirusowych mog si dziwi, dlaczego tak a nie inaczej postanowilimy sprawdzi programy antywirusowe. Prosimy o wyrozumiao i zrozumienie. CO TO JEST RANSOMWARE? G坦wnym zadaniem ransomware (z jzyka ang. ransom okup) jest szyfrowanie danych dostpnych na dysku, do kt坦rych dostp jest wielce utrudniony dla u甜ytkownik坦w nie posiadajcych specjalistycznej wiedzy w usuwaniu tego typu zagro甜e. Ransomware nadpisuje powok explorer wywietlajc wasny ekran blokady z informacj o krokach jakie powinien podj u甜ytkownik w celu odzyskania danych. Zablokowany komputer przez ransomware.
  • 3. 2 Test ransomware WSTP DO TESTU Testowane wersje program坦w byy pobierane ze stron producenta, aktualizowane do najnowszych wersji przed rozpoczciem testu oraz zainstalowane z domylnymi ustawieniami. Platforma testowa to wirtualne maszyny z systemem Windows 7 x32 Home Premium z aktualizacjami krytycznymi na dzie 20 kwietnia 2014. Zapora systemowa oraz Windows Defender byy wyczone. Materia badawczy do testu dostarcza malware.pl METODOLOGIA 1. Instalacja programu na domylnych ustawieniach. 2. Aktualizacja do najnowszych wersji plik坦w oraz baz sygnatur. 3. Ponowne uruchomienie systemu. 4. Uruchamianie plik坦w i sprawdzenie ochrony w czasie rzeczywistym. 5. Zapisanie wynik坦w. TESTOWANE WERSJE PROGRAMW Nazwa Wersja Pass / Fail ArcaVir Internet Security 2013 Zainfekowany system przez pliki: 1,2,3.exe 13.02.3201 2 Avira Internet Security 2013 13.0.0.3492 5 Avira Free 13.0.0.3492 5 avast! Internet Security 8 Zainfekowany system przez pliki: 2.exe 8.0.1483 4 avast! Free Zainfekowany system przez pliki: 2.exe 8.0.1483 4 AVG Internet Security 2013 Zainfekowany system przez pliki: 1.exe 2013.0.29.04 4 AVG Free Zainfekowany system przez pliki: 2.exe 2013.0.29.04 4 Bitdefender Internet Security 2013 16.29.0.1830 5 Bitdefender Free 1.0.14.889 5 Comodo Internet Security 2013 6.1.275152.2801 5 Dr.Web Antivirus 8.0.8.04230 5 Emsisoft Antimalware 7 7.0.0.21 5
  • 4. 3 Test ransomware ESET Smart Security 6 6.0.306.7 5 eScan Internet Security 14 Uruchomienie plik坦w 2,3.exe powodowao zawieszenie systemu oraz nieoczekiwane restarty i bdy pamici. 14.0.1400.1364 3 F-Secure Internet Security 2013 1.77.243 5 FortiClient Free 5 Zainfekowany system przez pliki: 2.exe 5.0.2.225 4 G Data Internet Security 2014 24.0.1.1 5 Immunet PRO 3.0.8.9025 5 Immunet Free Zainfekowany system przez pliki: 2, 4.exe 3.0.8.9025 3 Kaspersky Internet Security 2013 13.01.4190(g) 5 Kingsoft Free 2012.5P5.6.121215 5 Malwarebytes Anti-Malware 1.75.0.1300 5 McAfee Internet Security 2013 12.1 5 Microsoft Security Essentials Zainfekowany system przez pliki: 2.exe 4.2.223 4 Norman Security Suite 10 Zainfekowany system przez pliki: 1,2.exe 10.00.0600 3 Panda Internet Security 2013 18.01.01 5 Panda Free 2.1.1 5 PcTools Internet Security 2013 Zainfekowany system przez pliki: 2,4.exe 2012(9.10.2900) 3 Norton Internet Security 2013 20.3.1.22 5 TrendMicro Internet Security 2013 6.0.1215 5 TrustPort Internet Security 2013 Zainfekowany system przez pliki: 2.exe 13.09.5102 4 Webroot SecureAnywhere Antivirus 2013 8.0.2.127 5 Vipre Internet Security 2013 Zainfekowany system przez pliki: 2.exe 6.2.1.10 4
  • 5. 4 Test ransomware UWAGI KOCOWE Wydawa by si mogo, 甜e ransomware nie powinien ju甜 stwarza problemu dla program坦w antywirusowych, kt坦re maj nas chroni przed m.in. tego typu zagro甜eniem. Detekcja na podstawie sygnatur odchodzi do lamusa, kt坦r ju甜 dawno zastpia analiza behawioralna oraz heurystyczna i to nawet w chmurze. Ransomware modyfikuje rejestr, kt坦ry w wikszoci przypadk坦w jest (powinien by) pod ochron programu antywirusowego na przykad TrustPorta, kt坦ry posiada Inspektor Aplikacji (monitor zachowawczy). W przypadku Avasta nie pomoga nawet piaskownica. Program nie wykry zagro甜enia a potencjalny u甜ytkownik musiaby si upora z zablokowanym systemem przez ransomware. Winy nie ponosz same aplikacje oferujc tak a nie inn ochron, ale tak甜e korzystajcy z tych aplikacji ludzie. Antywirus to tylko program zaprojektowany przez czowieka, a jego inteligentna ochrona jeszcze bardzo dugo nie zastpi ludzkiej. Tak wic, czy teraz patrzc na te wyniki, osoby u甜ytkujce programy, kt坦re dopuciy do infekcji maj je odinstalowa i zaopatrzy si w ochron innego producenta? W 甜adnym wypadku nie. Pamitajmy, 甜e nic nie zastpi zdrowego rozsdku podczas korzystania z bogatej skarbnicy Internetu. Kontakt w sprawie test坦w dla producent坦w: kontakt@avlab.pl Nie odpowiadamy na maile w sprawie testu wysane z prywatnych skrzynek pocztowych. Dyskusja dla u甜ytkownik坦w na temat testu bdzie toczy si na forum: www.avlab.pl/forum Dzikujemy za zapoznanie si z dokumentem oraz zapraszamy na nasze kolejne testy!