G DATA vs. Tamás zsarolóvírusa

G DATA vs. Ransomware

Péntek éjjel kaptunk egy új zsarolóvírus mintát Tamástól, aki azt írta nekünk, hogy a VirusTotal szerint ezt az új kártevőt egy neves vírusirtó sem tudja megállítani. Nem hagyott bennünket nyugodni a dolog, úgyhogy több menetben összeeresztettük az új zsarolóvírust a G DATA védelmével, hogy megtudjuk, megállítja-e valamelyik védelmi technológiánk.

A biztonsági szakemberek körében keményen tartja magát néhány hit. Az egyik ilyen, hogy ha a VirusTotal-on egy vírusirtó nem ismer fel egy új kártevőt, akkor a gépen sem ismeri fel. A helyzet azonban az, hogy a VirusTotal oldalon a vírusirtó szoftverek nem minden védelmi képességüket tudják használni, ezért a VirusTotal eredményeit nem kell szentírásnak tekinteni – ahogyan erre korábban is figyelmeztettünk.

Első menetben feltöltöttük mi is a kártevőt a VirusTotal oldalára, és megállapítottuk, hogy a G DATA (az összes más neves gyártó mellett) valóban ártalmatlannak jelzi a fájlokat az oldalon.

Valódi környezetben azonban a vírusirtó szoftverek különböző összetett technológiákat használnak az új kártevők megállítására, ezért úgy döntöttünk, hogy levizsgáztatjuk a G DATA Zsarolásvédelmét. 

A történethez hozzátartozik, hogy Tamás gépén egy másik gyártó jogtiszta, frissített vírusirtó szoftvere futott, amely sajnos ebben az esetben nem vizsgázott jól, a kártevő titkosítani tudja a dokumentumokat a szerveren. Ezért természetesen mi is egy – külön erre a célra létrehozott – virtuális környezetben teszteltük a kártevőt.

Amikor egy kártékony kód be akar jutni egy gépre, a vírusirtó szoftvernek több lépcsőben van arra lehetősége, hogy megállítsa. Az első a http (webes) forgalom átvizsgálása, azaz a legjobb, ha a kártevő már le sem tud töltődni a gépre. A második védelmi vonal a szignatúra alapú, hagyományos vírusvédelem, amelynek segítségével a védelmi szoftverek a már ismert kártevőket tudják blokkolni.

Kiderült, hogy a Tamástól kapott kártevő valóban nagyon friss: szignatúrák alapján a G DATA sem ismerte fel az adott pillanatban. (Ez a helyzet akár óráról órára változhat, ahogy az új variációk megjelennek, és ahogy a gyártók elkészítik a szignatúrákat.)

Jöjjön az igazi meccs!

A szignatúra alapú védelmen túl azonban ott van a Viselkedésalapú védelem, amely heurisztikus módszerekkel szimulálja, hogy mi történne egy adott kód lefuttatásakor, és így képes megállítani a még ismeretlen kártevőket is.

A második menetben Tamás zsarolóvírusát összeeresztettük a G DATA működő vírusvédelmével, hogy kiderüljön: a Viselkedésalapú védelem azonnal megállította azt!

A zsarolásvédelemre még csak szükség sem volt, a G DATA belső szimuláció alapján, azonnal blokkolta a kártevőt, és nem engedte lefutni a gépen. (Természetesen büszkék vagyunk a saját fejlesztésű heurisztikánkra!)

A harmadik menetben ennél is tovább mentünk. Úgy döntöttünk, hogy megizzasztjuk a G DATA védelmét, és kikapcsoljuk a víruspajzsot, az exploit protection technológiát és a viselkedésalapú védelmet is! Egyedül a G DATA Zsarolásvédelmi technológiája maradt bekapcsolva: az az intelligens védőháló, amelyet azért fejlesztettünk, hogy ha minden kötél szakad, akkor se legyen baj!

Elindítottuk a zsarolóvírust, és vártunk az aktiválására. Hallgattuk a merevlemez kerregését, és néztük a dokumentumainkat. A titkosítás helyett azonban a G DATA figyelmeztetése ugrott fel: a G DATA Zsarolásvédelem blokkolta a kártevőt, és az összes hozzá tartozó folyamatot megállította. Minden dokumentum sértetlen maradt, a technológia jelesre vizsgázott!

Végül nem bírtunk magunkkal. Eltávolítottuk a G DATA védelmét a gépről, és megnéztük, hogy a Windows Defender mit tud kezdeni Tamás zsarolóvírusával. Ennek a legutolsó kísérletnek az eredményét a videó végén látjátok.

A meccs: G DATA vs. Tamás zsarolóvírusa

Frissítés: 2018. 02. 15.-én:

Az esemény óta eltelt néhány nap, így joggal kérdezhetjük meg újra, hogy most mi a helyzet a VirusTotal felismeréssel.

Az különböző víruslaboratóriumoknak illik feldolgozniuk az új vírusmintákat, és azok felismerését beépíteni a hagyományos, szignatúra alapú felismerésbe is. Ez mutatja, hogy az adott víruslaboratórium folyamatosan végzi a munkáját, és feldolgozza az új kártevőket.

Ezért a különböző mintákat ismét feltöltöttük a VirusTotal oldalára. Az eredmények szerint a G DATA már a hagyományos vírusvédelem segítségével is megállítja mindhárom fájlt, de bőven akadnak olyan konkurensek, akik még nem ismerik Tamás zsarolóvírusát (az egyik minta esetében például mindössze 8 motor ad riasztást a 67-ből.)

Íme az eredmények (kattints a képekre a megnyitáshoz):

42 Comments

  1. Névtelen szerint:

    Nem azért, de a videó elején jól látszik, hogy pár vírusirtó már jelzett rá, míg a GData (és a többi) nem.

  2. Névtelen szerint:

    Igen ilyen a defender a régebbi jó programokat vírusnak hazudva törli kérdés nélkül a valódi kártevők ellen meg semmit sem ér…

    • Névtelen szerint:

      A “régebbi jó programok” alatt a mindenféle hacktool és keygen progikat érted, ugye? 😛

    • Névtelen szerint:

      Nem még véletlenül sem…

    • Névtelen szerint:

      Vállalatirányítási rendszer alapmotorját is törölte… erről ennyit

    • Laca Ruzicska Ez megtörténhet, ha az adott rendszer gyártója rosszul programozza le a rendszerét, és nem tartja be a biztonsági alapokat. A vállalatirányítási rendszer tud úgy viselkedni, ahogyan a kártevők szoktak (például távoli szerverről fájlokat tölt le a gépre). Ha a fejlesztő nem használ érvényes digitális aláírást, az például problémát jelenthet.

      Ha valóban téves riasztásról van szó, akkor az informatikus feladata, hogy a fájlt hozzáadja a kivételek közé, így a G DATA nem fogja bántani. Ezután a fájlt be kell küldeni a víruslaboratóriumba, ahol fehérlistázni fogják a munkatársaink. Onnantól kezdve a G DATA nem ad majd riasztást az adott fájlra.

      Ez minden egyes vírusirtó esetében így működik, a G DATA a többiekhez képest igyekszik gyorsabban reagálni az ilyen kérésekre. Még egy kis kiegészítés: nem a G DATA törli az adott fájlt. A G DATA riasztást ad a fájlra, az informatikus pedig törli. Az informatikus állítja be, hogy mi legyen az alapértelmezett reakció a fertőzött fájlok esetében.

  3. Névtelen szerint:

    Ez is megnyugtat, hogy 2016-ban jól döntöttem.

  4. Néhány nappal később…

  5. Névtelen szerint:

    Én kipróbálom,aztán meglátjuk

  6. Névtelen szerint:

    500-Mb,nem-semmi,de 3at talált,köszönöm.

  7. Névtelen szerint:

    Ez a virus mar több mintegyeves

  8. Névtelen szerint:

    Hát a 30 napos próbaverziót felraktam. Nem fogom megvenni.
    Tény, hogy igen hatékony, de ha nincs i7 procid legalább 16Gb rammal, és SSD, akkor felejtős.
    Szó szerint meg tizedelte az alacsony kategóriás gépem teljesítményét.
    Pedig nem lenne drága, ha ez a bibi nem lenne, még meg is venném. De így esélytelen…

    • Névtelen szerint:

      Az, hogy i7 kell neki, netto baromság.
      Az SSD minden Win10-hez kell, mindegy mit csinálunk.
      Ha az ember használni akar erőforrásokat, ahhoz kell, hogy erőforrásokkal rendelkezzen. Minél többet tud egy alkalmazás, annál több erőt visz el a gépből.
      Akinek fontosabb az alacsony terhelés, mint a biztonság, az maradjon a defendernél.
      Az nem fogyaszt, és nem véd.

    • A tapasztalatok szerint ez akkor is előfordulhat, ha a felhasználó nem, vagy rosszul távolítja el előző vírusírtóját. Érdemes annak a gyári eltávolítóját lefuttatni, majd újratelepíteni a G Data szoftverét is. Egyébként még csak Core i3 sem kell….

    • Névtelen szerint:

      Nekem tökéletes! Meg is Vàsàroltam nemrégen. )))) Mindent jelez, nem lassítja a laptopom, pedig màr 7 éves)))) Köszönöm A Fejlesztőknek G Data!!!)))

    • Névtelen szerint:

      SSD? Egy mostani hagyományos winyó is tudja azt az írási/olvasási sebességet!

  9. Névtelen szerint:

    hol lehet letölteni ezt a ransomware -t tesztelés céljából?

    • A vírusmintát? Sehol. Nem gondolod, hogy fura lenne egy vírusirtó cégtől, ha megosztaná a kártevőket? Akkor jutsz egy ilyen mintához, ha a szakmában dolgozol. A megfelelő csatornákon ezeket megosztják egymással a cégek.

  10. Tamás szerint:

    Vajon a Defender folder védelme aktív volt? Az pont az egyik ransomvédelmi funkciója, elvileg.

    • G Data szerint:

      Kedves Tamás,

      A Defender beállításait nem módosítottuk, úgy volt beállítva, ahogyan az a frissen telepített Windowsban benne volt. A beállításokat ugyanakkor nem is ellenőriztük, tehát a kérdésedre nem tudunk pontos választ adni.

  11. Névtelen szerint:

    Azért egy kicsit fura, hogy Paypal fizetés után 15 perccel később sincs a lincesz kód sehol a fiókban, csak egy “Feldolgozás alatt” üzenet

  12. Névtelen szerint:

    azt azert megneznem, hogy a linuxom alatt elkezdene barmi is tomoriteni meg zsarolni magatol…

    • Nézd, lehet erről beszélgetni, de mi nem gondoljuk a Linuxot támadhatatlan operációs rendszernek. Tény, hogy a kártevők száma jóval alacsonyabb, de ez nem pusztán abból ered, hogy a Linux erősebb. Egyszerűen egy kártevő kifejlesztése is pénzbe és energiába kerül, és Linuxra nem éri meg “fejleszteni”.

    • Névtelen szerint:

      G Data Magyarország És a jogosultsagrendszer miatt esélye sincs elindulni még adott user joggal sem (aktiv selinux eseten). Windows alatt az eroforrasok 30%at is elviszik a vedelmi technikak, ami fokepp egy regebbi hw eseten akar hasznalhatatlanna teheti a rendszert. Nyilvan vannak dolgok amire csak windows hasznalhato(jatekok), de altalanos netezos/filmnezos hasznalat eseten en inkabb linuxot ajanlanek barkinek

    • Tibor Palotai Mi egyik operációs rendszernek sem vagyunk ellenségei. 🙂 Nyugodtan ajánld a Linuxot másoknak, és nyugodtan használd te is. Azonban a Linuxban is vannak sérülékenységek, be nem foltozott hibák, és a sok különböző kiadás miatt a hibajavítás nehezebb, mint az egységes Windows esetén. Az írt 30% erős túlzás és erős általánosítás ugyanakkor. Az viszont ténykérdés, hogy jelenleg nem a Linux a világ legelterjedtebb operációs rendszere. A Linuxról folytatott hitbéli és elméleti vitába pedig nem szeretnénk belemenni.

    • Névtelen szerint:

      G Data Magyarország Nem hitbeli vitara hivok senkit, en is hasznalok windowst, de mindket rendszert a sajat teruleten. Nyilvan a virusvedelmet arra fejlesztik amire szukseg van, es amire megeri(darabszam alapjan). Hogy melyikbol mennyi van es foleg miert kar belemenni,de szelesebb latokorrel adott feladatra lehet talalni biztonsagosabb,gyorsabb es olcsobb megoldast. Amugy R5spect a gdatanak, mert tenyleg jo

    • Névtelen szerint:

      Tibor Palotai “És a jogosultsagrendszer miatt esélye sincs elindulni még adott user joggal sem (aktiv selinux eseten).” az, hogy nem láttál ilyet még nem jelenti azt, hogy ilyen nincs. az ilyen mondatok azt mutatják, hogy fingod sincs a témához! nézelődj egy kicsit: https://www.exploit-db.com/exploits/18411/ .. tanulni, tanulni, tanulni….

    • Csak udvariasan! 🙂 Szép estét mindenkinek!

    • Névtelen szerint:

      igen, az volt.. köszi! 😀

    • Névtelen szerint:

      Antal Belágyi Mint minden szoftverben itt is vannak hibák, de a sikeres támadáshoz több hibát(app: user space, kernel), hibás biztonsági beállitást/user beavatkozást kell kihasználni, amely nagy kombináció, egy mailben elküldött mutatomacsunyam.neked file segitségével szinte lehetetlen.
      – kapott állományt le kell tölteni (user beavatkozás)
      – futtathatóvá kell tenni (user beavatkozás)
      – el kell inditani vagy fileba ágyazva kihasználni egy alkalmazás sebezhetőséget(sok alkalmazás, verzió, forditott állapot létezik) – selinux
      – adott user nevében tud futni, hozzáférései korlátozottak, tűzfal miatt kommunikáció korlátozott
      – privilegium szerzés – kernel vagy futó magasabb jogosultságú app hiba kihasználása (sokféle variáció)

      Szerver szolgáltatás támadása is alkalmazás és egyedi biztonsági hibák kihasználására épít, több lépcsős folyamat.

      Egy mailben elküldött binárissal aligha fog sikerülni (bár elméletileg nem kizárható).

      Ui: való igaz, mostanság nem ettem babot.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.