Re: [情報] WanaCrypt0r勒索病毒：19款防毒主防測試

作者shinbird (爆肝就要喝愛肝)

看板AntiVirus

標題Re: [情報] WanaCrypt0r勒索病毒：19款防毒主防測試

時間Sun May 14 23:11:20 2017

※ 引述《wuhujohn (東尼史塔克)》之銘言： : ※ 引述《omkizo (陳武愛帶你笑掌)》之銘言： : : 這個是中國網友做的測試 : : 前邊有人說到病毒可能設有對虛擬機器/沙盒的測試對一般環境可能並不適用 : : 但我覺得還是有一定的參考價值的 : : 結果尚算不錯吧幾個知名的軟體都擋到 : : (部分用詞略作調整以符合臺灣的慣用語) : : --- : : http://bbs.kafan.cn/thread-2089134-1-1.html : : [技術原創] WanaCrypt0r勒索病毒：19款防毒主防測試 : : 看到最近這個勒索這麼火，手癢啦~ : : 這個樣本主要應該是靠漏洞傳播，剛好合適我的測試環境，所以來測試一下看看各大殺軟 : : 的主防是否有效。 : : 測試的方法照舊是鎖庫+斷網（不再對這個測試方法回复，詳情參照我之前的測試貼）。 : : 這次用的大部分殺軟都鎖在2016年12月12日的庫，雖然很早很早，但結果依然令人驚訝的 : : 好。 : : 測試環境： : : VBox虛擬機，win7英文版SP1（未打補丁），各防毒軟體均採用預設設置，解壓後直接雙 : : 擊運行病毒 : : 樣本下載： : : <鏈結刪除有興趣者請進入原文拿取> : : 測試結果： : : 防禦成功的（會留下一些無害衍生物）： : : BitDefender Free（20161212）：一聲不吭就殺掉了， : : Kaspersky Internet Security（20161212）：被加密了一些後，主防殺，成功回滾 : : F-Secure Client Security（20161212）：主防殺 : : Emsisoft Internet Security（20170104）：主防（勒索保護）殺 : : Dr. Web Anti-Virus（20161212）：啟發殺，非常神奇 : : （http://bbs.kafan.cn/thread-2088985-1-1.html的變種也能啟發殺） : : SandBoxie（v5.12）：預期之內，即使是舊版本的沙盤，依舊不會被穿 : : 檢測到非法行為但攔截失敗/後知後覺的： : : Trend Micro（20161212） : : GDATA（20161212） : : 這個都有彈窗，但是即使點block，文件都已經被加密 : : 防禦失敗的（無反應被加密）： : : 360殺毒+360衛士（ 20 161212） : : 360 Total Security（20161212） : : 火絨（20161212） : : 費爾（20161212） : : AVAST Internet Security（20170127，舊版） : : AVAST Internet Security（20170210，IDP融合後的版本） : : AVG Free（20161212） : : HitManPro.Alert（3.6.1 Build 574） : : McAfee Endpoint Security（20161220） : : Symantec Endpoint Security（20161212） : : AVIRA Free（20161212） : : ESET Internet Security（20161219） : : 總結： : : 之前看到有人說，國外這些防毒軟體大廠技術先進，可能領先幾個月之多。 : : 當時我不太相信，不過現在只能說，大寫的服~ : : 無論從哪個測試看，無疑卡巴和BD都是現在防毒大軍中的超一流，這再次得到了驗證。 : : 這也再次證明了主防的必要性。 : : 用5個月前的毒庫和行為庫斬殺了5個月後流行的病毒，事實勝於雄辯。 : : （可惜了我的AVG……不給力啊） : : （ps：如果讓exe入沙運行，AVG的IDP是會有彈窗攔截的，算是個小驚喜ww） : : （pps：本次測試娛樂成分居多，結果僅供參考~） : : --- : : 給大家參考一下囉 : 我使用的防毒軟體是Symantec Protection Endpoint : 剛好那台電腦沒裝到三月份的更新，這次的SMB漏洞攻擊有攔截住 : 馬上去補了更新起來 : 而且最近幾個月賽門鐵克都有針對勒索病毒做重點防護 : http://i.imgur.com/vaLBcWD.jpg

之前用過不少防毒，也買過正版的，結果還是會中獎。後來都改用MSE。因為簡單、便宜、好用、免費，而且保證是正版。不會有試用期到了就叫你要更新或是升級的問題。缺點就是很陽春，沒有郵件保護。不過現在都是用線上郵件收信。下載檔案的話，他就會主動掃。公司郵件的話，會先從公司主機伺服器那邊過濾一次，基本上是不太需要。而且現在也很少用內部收信了。主要都是通過即使聊天軟體如skype或line傳訊，很少傳圖片跟網址。然後自己也會定期作備份工作。公司重要資料跟舊檔案都是異地備份。不敢保證萬無一失，但至少儘量讓傷害發生的時候，把災情降到最小。但我們公司的MIS標準設定防毒軟體卻是AVG free……。叫他跟公司申請成企業版或是專業版。 (你個人家用主機就算了，公司用的耶…) 也才幾千塊，但他卻死活不動，不然就是跟我說，他申請了，但公司沒批準，然後一副不關他事的樣子…。難怪會發生連自家公司軟體有沒有用盜版都不曉得，被人一唬就說要買三十套正版的事情發生……。 == 昨天還聽到一件很不可思議的事，就是我們公司主機的伺服器沒有買專業防毒跟防火牆我問他說會不會中勒索?? 他說他有設SMB跟Netbios的功能給關了……。我問他說為什麼沒有買?你有提出建議跟申請嗎? 他就惦惦了。所以我現在心情真的是挫咧等… 不過我只要自己的電腦沒事就好了…，呵呵 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.234.118.101 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494774682.A.E7E.html ※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:13:22

→ greg7575: 就你問題最多，炒你 05/14 23:13

推 miniuser: 小公司? 在台灣見怪不怪了 05/14 23:13

推 a47135: 你知道台灣不流行解決問題，而是流行解決提出問題的人嗎? 05/14 23:17

→ gowaa: 樓上好像也不只台灣呢.. 有夠悲哀到底為何是這種文化 05/14 23:18

→ smtp: 公司mis又沒經理丶副總權限, 提出花錢方案只會被K而已~ 05/14 23:21

推 purplvampire: 我公司也沒買付費版AV,也沒特別幫SVR買,誰問我這個 05/14 23:22

→ purplvampire: 只會被我噹回去,你行你來做,當公司這麼好捨得花錢? 05/14 23:23

推 deepwild: 買好一點的防毒還會被會計批花太多錢 05/14 23:23

→ purplvampire: 防毒系統的配置是整體資訊安全防禦的一環,要一起看 05/14 23:24

你是專業，所以我相信你。但對一個連系統重開機也會當掉，把公司網站搞掛一個星期修不好。結果提出的方案是叫公司換主機供應商，最後逼得公司主管去請前任MIS幫我們處理，結果對方十分鐘就把網站回復。然後被人唬一下，就認為我們公司軟體是用盜版的人來說…。我不相信他有啥專業。這只是小例子，還有其它太多太多因素。基本上他到現在還沒有被fire掉的原因，我也不清楚。 ※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:28:38

推 stewartqq: =_=...我跟你說啦!慣老闆的心態就是不花錢最好! 05/14 23:25

噓 ABA0525: 問台灣慣老闆啊，只想省錢。mis提買企業版一定被罵 05/14 23:25

→ stewartqq: 勒索病毒我公司去年就中一輪了!我還是一樣提出申請~ 05/14 23:25

→ purplvampire: 不要個別針對特定目標去檢視,這樣才能用最低成本發 05/14 23:25

→ stewartqq: 照樣被打槍!從此我就擺爛了~被鎖了剛好罷了 05/14 23:26

→ purplvampire: 會最高價值,別小看MIS的專業 05/14 23:26

→ ABA0525: 老闆跟會計還會問為何買卡巴這麼貴，有免費小紅傘不用 05/14 23:26

→ stewartqq: 這次風波新聞一出來所有主管階層都來問我一輪了!我只回 05/14 23:27

→ stewartqq: 不知道~~~~~=_=...林北又不是mis 05/14 23:27

→ ABA0525: 擺爛是對的，提出卡巴還被人捅武說用免費提公司省錢。呵 05/14 23:27

→ ABA0525: 呵 05/14 23:27

推 HowLeeHi: 便宜又免費?? 05/14 23:28

→ stewartqq: =_=我只顧好我工作的電腦就好了!!!其它就不干我的事~ 05/14 23:28

推 deepwild: 會計會說根據本年度預算能動用的設備費只能花多少 05/14 23:28

→ deepwild: XXX防毒比較便宜大宗採購就買XXX 05/14 23:29

那是你們公司吧… 我們公司會計，我去申請攝影器材，她幫我整個報表打好，還為什麼我只說買鏡頭?叫我加報燈光跟腳架……。基本上我們會計課(兼總務)不會打槍我們申請這些錢，還會要求我們一定要請錢= = ※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:32:28

→ ABA0525: 財務部經理會嗆說你有找三家以上防毒評估了嗎，為何選最 05/14 23:31

→ ABA0525: 貴要提公司省錢好嗎 05/14 23:31

→ purplvampire: 我記得我剛進這間公司時,跟老闆說他要的東西都要買, 05/14 23:31

→ purplvampire: 他對我的評價就跟你一樣:什麼這些都不能自己搞?請你 05/14 23:32

→ purplvampire: 來幹嘛?我直接外包給廠商做就好了啊幹,呵呵 05/14 23:33

→ stewartqq: =_=老闆問:為什麼裝了防毒軟體還會中毒...我都懶的理了 05/14 23:35

我們MIS：中毒怎麼?重灌就好了啊。 ………。呃，如果只是要重灌，那也不需要他。 ※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:38:03

推 deepwild: 原PO公司的會計根本天使好嗎？ 05/14 23:37

不然你以為我們公司怎麼是怎麼撐到現在的?... ※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:38:56

推 purplvampire: 重灌確實是最佳做法,不信你去MIS版問,答案一定相同 05/14 23:43

不是問解決方法，而是如何問他如何預防的方法。解決方式我當然知道重灌...，不對，是買一台新的主機更快。

推 paul40807: 你的公司會計是天使但是你的MIS根本無言 05/14 23:45

※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:46:16

→ paul40807: 不過還是想問他是只有重灌還是會盡量幫忙回復資料 05/14 23:45

你問到重點了。他不會回復資料。上次有同事的電腦壞了，他說要寄回原廠問。但那顆硬碟已經過保了。結果主管就問他，為什麼隔壁就是資料救援公司，你不去問看看? 他才說對齁，然後拿去送修… 我們公司就在資料救援跟網管公司鄰立的NOVA旁邊……

→ purplvampire: 重點是,RPO多少?RTO多長?以及User會閒置多久? 05/14 23:45

※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:48:52

→ paul40807: 如果會回復資料基本上腦袋就算清楚的了還沒有太廢 05/14 23:46

→ abelyi100: 重灌本來就是最好的做法吧？這是常識吧？ 05/14 23:46

→ abelyi100: 你能保證病毒清掉了100%不會復發嗎…… 05/14 23:46

→ purplvampire: 我的RPO是趨近於0,沒有資料回復的問題,資料不必回復 05/14 23:48

→ purplvampire: 我換一台主機30分鐘內讓User上工,你買要多久時間? 05/14 23:49

對了，你提到這件事，我才回想起來，他去把硬碟送修回來後，同事沒有主機不能作業，我主管問他怎麼辦? 他說沒有硬碟他沒辦法，要等硬碟回來才行。我就插口問他，公司沒有其它的主機嗎?不能拔其它的硬碟來裝嗎? 如果硬碟修不好，或是三五天才回來，那同事不就放假算了? 最後，他跑去大賣場買了一顆新的硬碟回來……

→ shinbird: 我們公司隔壁就是NOVA……。 05/14 23:50

※ 編輯: shinbird (36.234.118.101), 05/14/2017 23:53:29

推 paul40807: 你們MIS好優質喔你們應徵標準到底在哪… 05/15 00:03

→ paul40807: 還是這不是他的專長… 05/15 00:03

我們前任MIS是私下跟我說，因為他公司就要開業了他想趕快走人，但根本就沒有人來應徵，就只有他寄履歷來，就讓他接了。 ...他之前好像是幫第四台裝cable的人員。前任MIS說，雖然有點不好意思，但他說他都有交待清楚，然後決定請他的是老闆，所以真的也不是他亂捉交替的問題。他說的一點也沒錯。我也不曉得我們老闆的用人標準。因為我們主管是否決這個人事命令的，但老闆最後還是決定請他。 ※ 編輯: shinbird (36.234.118.101), 05/15/2017 00:06:14 ※ 編輯: shinbird (36.234.118.101), 05/15/2017 00:08:27

推 deepwild: 看來這位MIS應該去分攤天使會計的總務業務 MIS你來當XD 05/15 00:09

我們會計之前有叫他分攤總務的工作，但後來還是決定，自己收回來作。因為叫他出門採買文具一趟三小時，清單上寫口紅膠x1、原子筆x1、膠帶x1。單位都是盒。結果他每個都只買一支回來... 現在他的功用只剩下出門去寄信，而且限定他要半小時內回來。

推 coyoteY: 背景很硬 05/15 00:09

推 purplvampire: 好吧,看起來是請到一個門外漢來幹MIS,自求多福了QQ 05/15 00:15

※ 編輯: shinbird (36.234.118.101), 05/15/2017 00:23:40

推 nk950357: 這啥小MIS XDDDDDDDDDDDDDDD 05/15 00:24

→ nk950357: 乾一盒買一隻這有好笑到 05/15 00:25

推 q0325: 看來後台很硬w 05/15 01:06

推 deepwild: 老闆這麼nice會計又很天使貴公司有缺人嗎XDDD 05/15 01:25

推 light1234: 請問是哪家公司我去應徵MIS好嗎除了寄信我還會 05/15 01:25

→ light1234: 買便當跟請款XDDD 05/15 01:25

之前有請他代訂過便當跟處理員旅的事，他臉很臭，所以後來都不請幫他忙了。 (其實這也真的不關他的事) 不過我們內部大頭決定是如果火了他的話，我們MIS要外包，不請人了。 ※ 編輯: shinbird (36.234.118.101), 05/15/2017 01:28:32

推 JUNOCARE: 剛好可以趁這波勒索風波炒掉他阿 05/15 03:36

→ JUNOCARE: 就要主管問他幾個勒索相關問題答不出來就炒天經地義 05/15 03:37

推 mathrew: 推1F XDDDDDDDDDDDD 05/15 07:00

→ mathrew: 不要怪 MIS 啦，你以為跟老闆要錢這麼簡單喔你也出張嘴 05/15 07:01

推 awenracious: 有些公司為了省錢，還會裝類似openoffice之後的，老 05/15 08:36

→ awenracious: 闆不想花這筆你也沒輒 05/15 08:36

推 BleuCiel69: 淚推3樓啊 05/15 10:04

今天他又出包了，他叫工廠的人員系統異地更新，卻把工廠的網路關掉，然後叫工廠人員去上網路捉檔案…(菸) 還好我的電腦沒事就好了。 ※ 編輯: shinbird (59.125.46.247), 05/15/2017 10:19:42

推 verdandy: 免費授權拿來公司用，防毒公司是可以告的 05/15 11:16

推 D49361128: 居然拿免費授權企業使用幫防毒公司QQ 05/15 11:56

→ fgkor123: 安缺人嗎XD 05/16 08:46

→ fgkor123: 不過免費授權拿去公司用，被抓到可能真的要買三十套XD 05/16 08:48

→ fgkor123: 看授權範圍 05/16 08:49