WanaCrypt0r 勒索病毒： 19 款杀软主防测试

很好的测试啊，锁了病毒库，在 2016 年 12 月 12 日，然后查半年后的新病毒，很有参考价值。考验的就是杀软自己的安全体系，病毒库反而是次要的。行为检测，损坏回滚，这些都很重要！赞一下。

赞👍

火绒挂了

金山根本扫不出 https://www.virustotal.com/zh-cn/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/

@isCyan 火绒主防比较差。而且这次事件响应也慢。

所以说免费才是最贵的

准备把火绒换掉了…

测试效果最好的里面
卡巴每个新版本都有严重 bug
Emsisoft 主防可以把别的程序一切危险行为告诉你，但是有一些兼容性问题，比如让废渣地平线 3 无法启动
Bitdefender 的 ATC 在双击病毒方面一向表现良好，但是以前经常杀腾讯全家 (虽说也没冤枉腾讯 233

所以受不了 Win10 自动更新的人应该也不会选择这三个吧。

@coolcfan 那给个推荐，选哪个好

@JeffreyRSmith #9 当然还是这三个咯，要最好的主防就要忍受它们的 bug （

心塞，，eset 居然没拦住。。

找了半天也没发现微软的 wd 如何

火绒添加自己规格能防吗？

eset 没拦住，心塞+1

@wisefree +1 所以刚刚入了 24 块 3 年的大蜘蛛。。。

@wisefree 也没想到 eset 没防住

最好再来一个 5 月病毒库的横向测试，这样能再过滤出一些虽然没那么 NB，但也做好了本分的厂商。再剩下的就可以标记成垃圾杀软了。

@sephinh wd 能防怎么会大规模爆发

总结：国产杀软的都是辣鸡~

@chocolatesir 是怎么买到的呢? 我这边看官网 28 欧元一年...

@chairuosen 看看这个结果是不是？ https://www.virustotal.com/zh-cn/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/

@davidzhanwork https://www.v2ex.com/t/361251

风水轮流转，说不定下次就变了……
大多数杀软还不会把所有的文档读写操作都监控吧，毕竟相比于勒索病毒，其他的病毒也得防。

@coolcfan #8 卡巴的版本更新也不是强制的啊，完全可以用旧版本+全新病毒库一段时间等新版本稳定了再更新

看昨天大家还在火绒+1 +1 加到了 10086

大蜘蛛看起来有独到之处呀

@chairuosen
@yinflying
现在已经不一样了，昨天中午我看的时候 金山 瑞星 江民 这三个扫不出，最搞笑的是金山到现在都查不出。

@chairuosen 目前找到最早的扫描记录，国产唯一能检出的居然只有百度。https://www.virustotal.com/zh-cn/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/1494577961/

@jasontse 百度是用的比特梵德的核吧。

@SuperMild 在国内。大蜘蛛误杀还比较高。。

一个个都特么时候诸葛亮啊，这个时候还有毛用 :doge

@chocolatesir 但是其它的国产壳都没扫出来这就能说明问题了

@jasontse #28 最早的是这个： https://www.virustotal.com/en/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/1494574270/

360 QVM 云启发了，但后来几次就不报了，无语。。。

卡饭不是垃圾站么？

@sephinh #12 人家楼主测试用的是 win7 啊。。。哪来的 wd。。。

终上所述，360 是个垃圾

很好的测试，对选择杀毒软件很有帮助。

@wangxiaoer 对选择杀软有帮助啊

火绒主杀确实弱。积累还是不够。

给它再加个壳再测试 你会发现 又有很多软件根本查不出来

@lazycat 说的找包括但不限于楼主发的测试啊，win7 就是 mse 啊，8 以后都是 wd，但东西基本都是那一套

@wdlth 勒索病毒已经出现非常久了，杀软就应该无视么？

@acrisliu 卡饭论坛还好，同域名的卡饭教程是垃圾站。

@artandlol 加壳后它的行为特征应该不会变化吧，而且解壳也是杀软基本能力


@yicun WD 通过 Windows Update 更新的，然而有开 Windows Update 必然会收到微软补丁，并不会中毒。

@jasontse 金山不是当年的金山了，终端用户市场也越做越弱了。当年 android 2.3 的时候，金山手机助手还是蛮好用的，结果到了后面和数字公司比谁更卡，谁更能弹广告了。老本行都快被丢完了。

看来我推荐卡巴是对的。

Avira 没通过…伤心。卡巴太卡了，最后没用

上午 QQ 管家还推送消息说可以开启文档保护

一个系统补丁就解决的事硬要推销一大把乱七八糟的东西，知乎微博上那堆乱七八糟的教程看着就烦。
360 的微博把这个文章挂起来了，说这是故意抹黑 360 的文章。

看开机后是 360 快还是病毒快了。
理论上 360 会快一点。
装 360 的话。
金山的话自求多福吧。

@taineric 本身这个测试就是偏向于这款勒索软件，或者说它的部分行为，并不代表这些杀软能防 5 个月后的新病毒、新勒索软件。
比如以前这个 UFEI 的勒索软件 Petya：
https://www.virustotal.com/zh-cn/file/ac710109b547fe2a7abb42689c1d5b7546aecd978fe070c47668a2904df8f2a5/analysis/1481132040/#analysis

又是另外的一番景象。技术更新很快，只有多多提高自己的安全意识才行。

http://support.eset.com/kb6119/

ESET 建议把 cscript.exe、wscript.exe、Powershell、Adobe Reader、Office 等加入 HIPS 的规则里面，牺牲便利性以提高安全性。

@EIlenZe 继续火绒+1， 这次是 0day，指望杀软本身就不对，能起作用是启发式检测，这种本身就是不靠谱的。

@Domains #50 原来如此 火绒确实好多人好多人推荐

360 企业版的天擎好像上个月就对这个漏洞更新规则了

卡巴斯基确实厉害啊

诺顿 norton 2016 年 12 月 12 日版能否主动杀到？有没有谁能做个测试？

@zea
@wzw
@WhisperTseng
@wisefree
ESET、Avira 没防住，这些杀软是 **没有主防** 的（行为分析）
纯靠快速响应拼速度的，没入库就完蛋
ESET 有 HIPS，如果用 HIPS 规则禁止写入修改重要文件也能算防住，不过弹窗烦死你
红伞有 APC （上传，分析，拉黑）



@Domains
WNCRY 利用永恒之蓝漏洞攻击后，释放了一个和一般勒索程序没啥区别的衍生物程序来勒索的，而不是直接利用漏洞执行勒索行为
也就是说，白白浪费了漏洞无需写入硬盘即可执行的特性，释放了一个普通的勒索程序，而且设计还有缺陷
因此个人认为杀软防御普通勒索和 WNCRY 的难度没有区别



@rosu
火绒主打行为分析（主防和动态启发）的，病毒库弱，如果行为分析不行，火绒只能用防流氓了
火绒的行为分析和 avast 的行为分析防 Cerber 很好的，这次 WNCRY 没防住而已
之前 BD 的 ATC （主防）还总被 Cerber 过呢，入库也缓慢



@jasontse
@chocolatesir
WisdomEyes 是百度自家引擎（慧眼），而且测试中 BD 是主防拦截（ ATC ），不是入库
WisdomEyes 似乎很牛逼，总是第一时间拉黑，不知道会不会是传到 VT 不管是什么先拉黑再说



@mikeven
总结：无主防杀软都是辣鸡~

@EIlenZe 哈哈，这就要和你补充说一下，上面的话太简单不严谨，免得误导你了。 火绒更新的频次本来就低，指望这货查杀病毒本身也是不靠谱，我使用火绒不是因为谁谁推荐，而是因为适合我自己，自己对于安全、病毒这些还有些了解，现在已经不折腾了（以前会把收集到的木马跑一遍，再观察情况，写个手工清除教程什么的）但自带的太没存在感了，火绒这样带防火墙也带 HIPS 的轻量级安全软件对我来说已经够用了。
这次是 0day 攻击，是系统级的漏洞利用，除了补丁，没得防。启发式、行为分析等查杀手段之所以不靠谱，是软件远远没那么智能，规则太松了没效果，太严了就影响一大片，因为用户的应用环境千变万化 。

其实安全软件市场很大，蛋糕很大，你看看国外，就算这几年已经不像过去那么多病毒流行，依然能容纳那么多家安全软件产商，赛门铁克、McAfee、趋势科技、Kaspersky、熊猫、小红伞、AVAST、ESET 等等，国内实质上是被 360 所谓的免费搞烂了。

再次推荐使用知名大厂带本地主动防御杀软

其中免费的有
BD
Avast

@Technetiumer 那不可能的，一个病毒能成形，必须病毒实体文件到达用户硬盘，并且被激活运行了一遍。 病毒实质上就是一个可执行程序，只是被错误安装进系统。没那么神乎的

日本这边基本是 Norton 撑大旗，shopping mall 软件区各种摆满。其他的能看到趋势科技（？没看错的话）和 ESET 不过份额很少。

于是公司跟风买了 Norton Small Business 给员工用...........

不过这次圈子里分享病毒样本的时候 Norton 还是非常利索地都给干掉了就是。

@Domains

转自卡饭

该病毒最精华的部分，也就是让它带有蠕虫性质的自动入侵模块，其实是照搬自今年 3 月被维基解密曝光的 NSA （美国国家安全局）的网络武器——“永恒之蓝“。 而在“永恒之蓝”完成入侵后，接下来的东西就暴露了作者的水平。

单就“永恒之蓝”，其入侵手段非常完美，利用远程执行漏洞，使用 Shellcode 获取管理员权限，整个过程都隐藏在内存里，，不进行任何文件读写，完美规避安软的文件扫描（部分安软的基于进程的内存扫描也很难扫到），那么这个拥有管理员权限，几乎可以为所欲为的 Shell 做了什么呢？仅仅只是联网下载病毒本体到 ProgramData 文件夹，并将其执行，然后就
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
合着国家级的入侵工具，你就拿它当下载器？
亏得刚刚避过了安软的文件扫描，一下载文件到硬盘，完全破功，很多静态扫描强的安软，这时候很可能就把本体杀掉了。至于下回来的本体，就是一普通的勒索加密，用的是自加密的最初级加壳方式，直接使用命令获取所有文件的写权限，动作之大，只能说掩耳盗铃，视安软的主防于无物，从下面的测试里也能看出，断网状态、16 年 12 月行为特征库的各大安软就纷纷将其斩于马下。更无语的是，该病毒是先在本地生成加密密钥，加密完才上传至服务器，察觉的快的话，没有杀软的情况下也可能挽救文件。

这个测试没什么意义。病毒库除了静态病毒 signatures 之外还有别的内容。即便可以检测，检测的名字也是 generic 的 trojan。这有什么意义。

这么一个牛逼的漏洞被这么一个有缺陷的勒索爆了

估计无数 xx 人员气的想骂人

离线勒索软件思路

AES 加密文件，RSA 公钥加密 AES 密钥，要求用户通过 tor 的.onion 网站提交被 RSA 加密的 AES 密钥文件，同时还要用户提交即将用于支付赎金的比特币钱包地址，这样能绑定用户和比特币钱包地址，然后要求用比特币付款，暗网网站后台程序自动验证，自动用 RSA 私钥解密 AES 密钥文件，向用户发放 AES 解密密钥，用户向解密器填入专属 AES 密钥解密。

全程被害电脑可以断网，赎回文件可以用其他电脑操作。

@Technetiumer 哈哈，纯内存，重启不就没事了？ 病毒一定是要有实体文件的，你可以说在缓存里，但仍然是有实体，不然怎么生效？ 病毒要生存要常驻（不然重启怎么办），甚至可以内核级、驱动级加载，或者可以欺诈隐藏，挂了了钩子对系统查询返回虚假值（典型就是 Rootkit ）
而这个是 A+B 的套餐，即使 A 是可以因为永恒之蓝可以在目标机器以内存方式执行机器源码，但 B 仍然是实体文件程序。虽说这是个破坏型的病毒，只需要执行一次，不需要像木马那样希望开机常驻，但考虑到要实现勒索、解密功能，怎么可能光在内存就够了？ 何况你也说了，它还有蠕虫的攻击特征，怎么会没有实体的程序文件？

@Domains 应该 A 加密后，再释放 B。

如果 B 去加密文件，那么运行在内存中的 A 无非就是个下载器，下载了个普通勒索程序 B，B 有了实体文件就会被杀软文件监控扫描。

如果 A 去加密，那么没有文件读写可以绕过杀软文件实时监控，加密后再释放解密和说明程序 B，这样到现在哪怕入库了只要没有内存扫描和主防的杀软也会被绕过。

我看这个卡饭帖子写的是 A 释放了 B，B 加密文件。

@Technetiumer 对啊，A 是下载器也是一个实体程序文件的，典型就是木马下载器+真正木马模式，木马下载器很小巧，10KB 就够了，然后再偷偷后台下载真正的木马并运行释放。所以，要拦截也是有办法的，IDM 就够了，因为 IDM 能拦截所有下载请求。
总之，你上面贴的那段太玄乎了

@Technetiumer 远程执行漏洞的话，应该是负责 SMB 的系统进程被植入了 A，要杀是一样能杀，只不过变成杀系统进程了而已……
的确这得靠内存查杀和行为防御……

@yicun 自动更新修复过的漏洞不也爆发了。。。关自动更新的应该也不会有用了 Windows defender。。。

这个东西主要还是靠神洞 eternalblue 传播的吧？不知道这和直接双击会不会产生不同的结果。原帖作者是直接双击的，并不是另找一台虚拟机来感染它。

@Domains
MBR 木马“暗云”不就没有实体文件……
还有 IDM 啥时候有安全功能了，万一人家不用 HTTP 协议呢？

@Technetiumer
“该病毒是先在本地生成加密密钥，加密完才上传至服务器，察觉的快的话，没有杀软的情况下也可能挽救文件。”
不知道这贴来自几楼？
按照目前的分析，这病毒加密一个文件换一个密钥，是严谨 /恶毒的表现。虽然它确实干了强行获取文件可写权限、忘记抹掉未加密原始文件等错误，但我觉得本地生成加密密钥真的是亮点……（但如果病毒没及时从内存中清除掉私钥，折腾那么多就完全没意义了，内存 dump 即可破之）

有没有什么靠谱的专杀工具？不想为了它而新装一个杀毒软件。

@jasontse 这是测主防，不是特征扫描

Windows Defender 呢？

数字公司的那个笑死我了

@littleylv 没什么好笑的，360 的确是让普通用户最早并且最有效避免病毒的.

@fate #75 最早最有效的避免病毒的不应该是微软 3 月份的补丁么 [滑稽

@fate 哈哈哈哈哈

这种测试没什么意义

@littleylv 哈哈 可惜补丁没人打啊

@fate
先把老奶奶推倒，然后第一个把老奶奶扶起既视感
jbdxbl

怎么不测一下 windows defender

以前有 wd 吹，现在改吹火绒。
他们觉得一个安静不骚扰就是好杀软。
就是要一个所谓轻量级防护，图一个心理安慰。

@davidzhanwork https://www.v2ex.com/t/361251#reply14 看这个

360 这个洗白我给 0 分

@Domains 你又知道人家会用 HTTP 下载？退一步，就算用 HTTP 我用 Stream 你 IDM 拦给我看？

我觉得毛豆的防火墙开了沙盒和 D+都能拦住了……

@skylancer 嗯，BT 这样本身 IDM 也不支持，但是这样的话，A 就要内置 BT 等的下载功能模块，A 的体积就变大了。这样 A+B 模式的话，应该类似于木马下载器+真木马这样模式，A 要保持小巧简洁，达到快速刺入对方系统的目的。

@acess 写进 MBR 启动层也是文件啊，也是写入了硬盘啊，只是不是一般所看到存在于 Windows 的文件罢了，而且，暗云加载进系统，会释放出诸如 xnfbase.dll、thpro32.dll 等文件，这是它要实际它那些功能的模块，怎么没有实体文件。MBR 空间有限，必然木马体积也少，功能就受限，写入 MBR 只是为了保持常驻。具体的功能还得新下载模块文件。这个上面也说过了，这个勒索界面不是提供一个测试解锁的，让你相信它能解，放心付款，既然有这些功能，怎么会没有实体文件实现，全部挂到内存不现实，在我看来太玄学了。
另，这也不是说 IDM 如何，只是说一种技巧，本身 IDM 也有局限的，是按扩展名归类的，.exe/.zip 等等才拦截，要是病毒换个扩展名也是没反应的，比如说早期 IE 有个漏洞，能把.css 文档错误执行，你把.exe 改成.css 挂到网页，用户打开网页就会中招。IDM 要有效就要把.css 扩展名加上。

@Domains MBR Bootkit 完全可以做到一个文件不“落地”啊。
如果 MBR 是文件，那是不是能说一切皆文件……

@xvx #86 我去翻了卡饭的帖子，据说用 2010 年的毛豆都直接进沙盒，对文件无实际影响……

@xvx #86 另，以前我用 ss 的客户端，升级后配置文件一直被放沙盒里，导致每次开机都要修改端口才能使用，还以为是 ss 客户端的 bug，结果发现是毛豆的锅，一怒之下换火绒……

@yylzcom
壮哉我大毛豆，不愧是我多年吹水专用的 HIPS 防御体系。。。
基本上不在白名单内的，大毛豆都直接进沙（其实可以设置成询问是否进沙）。

@acess 你仔细看看#60 的描述…… “整个过程都隐藏在内存里，不进行任何文件读写” …… 这特么是玄学，然后你再看勒索病毒，都有个提示窗口，告诉你已被勒索了，要是真内存运行，不留文件，那么重启一次不就没有这勒索窗口了？没了这窗口，怎么再次提醒对方要付款的 BTC 钱包收款地址？利益怎么最大化？

@Domains
已经有 Petya 这个 MBR 里的勒索软件了。蓝屏强制重启，重启时伪装成磁盘检查，实际上是执行加密。
不过它用了被弱化的加密算法，被安全研究人员爆破了，即使不爆破，加密的也只有 MFT，找个 DiskGenius 仍然可以扫出文件来……说这些都跑题了，如果 WanaCry 也想到类似的思路了，可能只是编程麻烦一些，能产生的危害可能比现在还大。

@coolcfan 么么哒

@coolcfan 而且卡巴也有回滚失败的时候包括这一次的勒索的其他样本(逃

@Domains。。算不上 0day 吧，官方早就发布补丁了，这次的测试也是直接跑程序，就算没发布补丁也没涉及到攻防对抗方面的漏洞啊。

@Chalice #95 嗯，是有的。今天刚装了个卡巴，准备试用 30 天。

@coolcfan 而且就如你所说的，每次发新版都一堆 Bug，等修复的差不多了，这个版本也停止支持了，真的超尴尬

@Chalice #98 哈哈哈，是的，所以我之前一直没有去用……
今天装的 2017 已经出到补丁 D 了，说是好了不少，然而 2018 已经在测试了。

@Technetiumer #57 Avast 免费有主防么？有什么 reference ？

如果有的话，被他收购的 avg 免费版是不是也有