Test ransomware
Upcoming SlideShare
Loading in...5
×
 

Test ransomware

on

  • 5,206 views

 

Statistics

Views

Total Views
5,206
Views on SlideShare
599
Embed Views
4,607

Actions

Likes
0
Downloads
1
Comments
0

2 Embeds 4,607

http://www.comss.ru 4568
http://translate.googleusercontent.com 39

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Test ransomware Test ransomware Document Transcript

  • TESTRANSOMWAREdatatestu:kwiecień2013
  • 1 Test ransomwareNiniejszy dokument zawiera informacje na temat przeprowadzonego testu pod kątem blokowaniazagrożeń ransomware.WSTĘP1. W jakim celu został przeprowadzony test?O dziwo test nie miał na celu zbadania tylko wykrywalności zagrożeńransomware. Tak naprawdę chodziło nam o coś innego – jak i czy w ogóleproducenci reagują na takie zagrożenia wraz z biegiem czasu, i tym samyprzyczyniają się do dbania o własny wizerunek oraz bezpieczeństwa iświętego spokoju użytkownika.Wirusy ransomware to jedne z najbardziej powszechnych inajdokuczliwszych rodzajów zagrożeń, jakie napotkać można w sieci.Blokują one pulpit klienta, wyświetlając monit o konieczności zapłaty karyza rzekome naruszenie praw autorskich, udostępnianie treścipornograficznych czy rozsyłanie spamu.Nie dajcie się zwieść! Jest to zwyczajna podróbka i nie ma ona niczegowspólnego z prawdziwą policją. Tego typu szkodliwe programy szyfrujądane na dysku żądając opłaty za otrzymanie klucza, który pozwoli jeodszyfrować. Pod żadnym pozorem nie należy płacić jakiegokolwiekokupu. Pomimo, że siatka cyberprzestępców podszywających się podpolicję została rozbita, dalej możemy podczas surfowania w Internecienatknąć się na ransomware.Jak gang cyberprzestępców został rozbity pisaliśmy tutaj.2. Jakie zagrożenia wybraliśmy do testu?Czytelniku, nie – nie wybraliśmy do testu zagrożeń zero day (czytaj co tojest zero day). Byłoby to zbyt proste (prawie wszystkie programyantywirusowe nie zablokowałby zagrożeń) dla nas. Wirusy miały od kilkudni do 3 miesięcy.a) 1.exe - analiza wg VirusTotalb) 2.exe - analiza wg VirusTotalc) 3.exe - analiza wg VirusTotald) 4.exe - analiza wg VirusTotale) 5.exe - analiza wg VirusTotalUżytkownicy zainteresowani testowaniem programów antywirusowych mogą się dziwić, dlaczego tak a nie inaczejpostanowiliśmy sprawdzić programy antywirusowe. Prosimy o wyrozumiałość i zrozumienie.CO TO JEST RANSOMWARE?Głównym zadaniem ransomware(z języka ang. ransom – okup)jest szyfrowanie danychdostępnych na dysku, do którychdostęp jest wielce utrudnionydla użytkowników nieposiadających specjalistycznejwiedzy w usuwaniu tego typuzagrożeń. Ransomwarenadpisuje powłokę explorerwyświetlając własny ekranblokady z informacją o krokachjakie powinien podjąćużytkownik w celu odzyskaniadanych.Zablokowany komputer przez ransomware.
  • 2 Test ransomwareWSTĘP DO TESTUTestowane wersje programów były pobierane ze stron producenta, aktualizowane do najnowszych wersji przedrozpoczęciem testu oraz zainstalowane z domyślnymi ustawieniami. Platforma testowa to wirtualne maszyny z systememWindows 7 x32 Home Premium z aktualizacjami krytycznymi na dzień 20 kwietnia 2014. Zapora systemowa oraz WindowsDefender były wyłączone. Materiał badawczy do testu dostarcza malware.plMETODOLOGIA1. Instalacja programu na domyślnych ustawieniach.2. Aktualizacja do najnowszych wersji plików oraz baz sygnatur.3. Ponowne uruchomienie systemu.4. Uruchamianie plików i sprawdzenie ochrony w czasie rzeczywistym.5. Zapisanie wyników.TESTOWANE WERSJE PROGRAMÓWNazwa Wersja Pass / FailArcaVir Internet Security 2013Zainfekowany system przez pliki: 1,2,3.exe13.02.3201 2Avira Internet Security 2013 13.0.0.3492 5Avira Free 13.0.0.3492 5avast! Internet Security 8Zainfekowany system przez pliki: 2.exe8.0.1483 4avast! FreeZainfekowany system przez pliki: 2.exe8.0.1483 4AVG Internet Security 2013Zainfekowany system przez pliki: 1.exe2013.0.29.04 4AVG FreeZainfekowany system przez pliki: 2.exe2013.0.29.04 4Bitdefender Internet Security 2013 16.29.0.1830 5Bitdefender Free 1.0.14.889 5Comodo Internet Security 2013 6.1.275152.2801 5Dr.Web Antivirus 8.0.8.04230 5Emsisoft Antimalware 7 7.0.0.21 5
  • 3 Test ransomwareESET Smart Security 6 6.0.306.7 5eScan Internet Security 14Uruchomienie plików 2,3.exe powodowało zawieszenie systemu oraz nieoczekiwane restarty i błędy pamięci.14.0.1400.1364 3F-Secure Internet Security 2013 1.77.243 5FortiClient Free 5Zainfekowany system przez pliki: 2.exe5.0.2.225 4G Data Internet Security 2014 24.0.1.1 5Immunet PRO 3.0.8.9025 5Immunet FreeZainfekowany system przez pliki: 2, 4.exe3.0.8.9025 3Kaspersky Internet Security 2013 13.01.4190(g) 5Kingsoft Free 2012.5P5.6.121215 5Malwarebytes Anti-Malware 1.75.0.1300 5McAfee Internet Security 2013 12.1 5Microsoft Security EssentialsZainfekowany system przez pliki: 2.exe4.2.223 4Norman Security Suite 10Zainfekowany system przez pliki: 1,2.exe10.00.0600 3Panda Internet Security 2013 18.01.01 5Panda Free 2.1.1 5PcTools Internet Security 2013Zainfekowany system przez pliki: 2,4.exe2012(9.10.2900) 3Norton Internet Security 2013 20.3.1.22 5TrendMicro Internet Security 2013 6.0.1215 5TrustPort Internet Security 2013Zainfekowany system przez pliki: 2.exe13.09.5102 4Webroot SecureAnywhere Antivirus 2013 8.0.2.127 5Vipre Internet Security 2013Zainfekowany system przez pliki: 2.exe6.2.1.10 4
  • 4 Test ransomwareUWAGI KOŃCOWEWydawać by się mogło, że ransomware nie powinien już stwarzać problemu dla programów antywirusowych, które mająnas chronić przed m.in. tego typu zagrożeniem. Detekcja na podstawie sygnatur odchodzi do lamusa, którą już dawnozastąpiła analiza behawioralna oraz heurystyczna i to nawet w „chmurze”. Ransomware modyfikuje rejestr, który wwiększości przypadków jest (powinien być) pod ochroną programu antywirusowego na przykład TrustPorta, który posiadaInspektor Aplikacji (monitor zachowawczy). W przypadku Avasta nie pomogła nawet piaskownica. Program nie wykryłzagrożenia a potencjalny użytkownik musiałby się uporać z zablokowanym systemem przez ransomware. Winy nie ponosząsame aplikacje oferując taką a nie inną ochronę, ale także korzystający z tych aplikacji ludzie. Antywirus to tylko programzaprojektowany przez człowieka, a jego „inteligentna” ochrona jeszcze bardzo długo nie zastąpi ludzkiej.Tak więc, czy teraz patrząc na te wyniki, osoby użytkujące programy, które dopuściły do infekcji mają je odinstalować izaopatrzyć się w ochroną innego producenta? W żadnym wypadku nie. Pamiętajmy, że nic nie zastąpi zdrowego rozsądkupodczas korzystania z bogatej skarbnicy Internetu.Kontakt w sprawie testów dla producentów: kontakt@avlab.plNie odpowiadamy na maile w sprawie testu wysłane z prywatnych skrzynek pocztowych.Dyskusja dla użytkowników na temat testu będzie toczyć się na forum:www.avlab.pl/forumDziękujemy za zapoznanie się z dokumentem oraz zapraszamy na nasze kolejne testy!