Péntek éjjel kaptunk egy új zsarolóvírus mintát Tamástól, aki azt írta nekünk, hogy a VirusTotal szerint ezt az új kártevőt egy neves vírusirtó sem tudja megállítani. Nem hagyott bennünket nyugodni a dolog, úgyhogy több menetben összeeresztettük az új zsarolóvírust a G DATA védelmével, hogy megtudjuk, megállítja-e valamelyik védelmi technológiánk.
A biztonsági szakemberek körében keményen tartja magát néhány hit. Az egyik ilyen, hogy ha a VirusTotal-on egy vírusirtó nem ismer fel egy új kártevőt, akkor a gépen sem ismeri fel. A helyzet azonban az, hogy a VirusTotal oldalon a vírusirtó szoftverek nem minden védelmi képességüket tudják használni, ezért a VirusTotal eredményeit nem kell szentírásnak tekinteni – ahogyan erre korábban is figyelmeztettünk.
Első menetben feltöltöttük mi is a kártevőt a VirusTotal oldalára, és megállapítottuk, hogy a G DATA (az összes más neves gyártó mellett) valóban ártalmatlannak jelzi a fájlokat az oldalon.
Valódi környezetben azonban a vírusirtó szoftverek különböző összetett technológiákat használnak az új kártevők megállítására, ezért úgy döntöttünk, hogy levizsgáztatjuk a G DATA Zsarolásvédelmét.
A történethez hozzátartozik, hogy Tamás gépén egy másik gyártó jogtiszta, frissített vírusirtó szoftvere futott, amely sajnos ebben az esetben nem vizsgázott jól, a kártevő titkosítani tudja a dokumentumokat a szerveren. Ezért természetesen mi is egy – külön erre a célra létrehozott – virtuális környezetben teszteltük a kártevőt.
Amikor egy kártékony kód be akar jutni egy gépre, a vírusirtó szoftvernek több lépcsőben van arra lehetősége, hogy megállítsa. Az első a http (webes) forgalom átvizsgálása, azaz a legjobb, ha a kártevő már le sem tud töltődni a gépre. A második védelmi vonal a szignatúra alapú, hagyományos vírusvédelem, amelynek segítségével a védelmi szoftverek a már ismert kártevőket tudják blokkolni.
Kiderült, hogy a Tamástól kapott kártevő valóban nagyon friss: szignatúrák alapján a G DATA sem ismerte fel az adott pillanatban. (Ez a helyzet akár óráról órára változhat, ahogy az új variációk megjelennek, és ahogy a gyártók elkészítik a szignatúrákat.)
Jöjjön az igazi meccs!
A szignatúra alapú védelmen túl azonban ott van a Viselkedésalapú védelem, amely heurisztikus módszerekkel szimulálja, hogy mi történne egy adott kód lefuttatásakor, és így képes megállítani a még ismeretlen kártevőket is.
A második menetben Tamás zsarolóvírusát összeeresztettük a G DATA működő vírusvédelmével, hogy kiderüljön: a Viselkedésalapú védelem azonnal megállította azt!
A zsarolásvédelemre még csak szükség sem volt, a G DATA belső szimuláció alapján, azonnal blokkolta a kártevőt, és nem engedte lefutni a gépen. (Természetesen büszkék vagyunk a saját fejlesztésű heurisztikánkra!)
A harmadik menetben ennél is tovább mentünk. Úgy döntöttünk, hogy megizzasztjuk a G DATA védelmét, és kikapcsoljuk a víruspajzsot, az exploit protection technológiát és a viselkedésalapú védelmet is! Egyedül a G DATA Zsarolásvédelmi technológiája maradt bekapcsolva: az az intelligens védőháló, amelyet azért fejlesztettünk, hogy ha minden kötél szakad, akkor se legyen baj!
Elindítottuk a zsarolóvírust, és vártunk az aktiválására. Hallgattuk a merevlemez kerregését, és néztük a dokumentumainkat. A titkosítás helyett azonban a G DATA figyelmeztetése ugrott fel: a G DATA Zsarolásvédelem blokkolta a kártevőt, és az összes hozzá tartozó folyamatot megállította. Minden dokumentum sértetlen maradt, a technológia jelesre vizsgázott!
Végül nem bírtunk magunkkal. Eltávolítottuk a G DATA védelmét a gépről, és megnéztük, hogy a Windows Defender mit tud kezdeni Tamás zsarolóvírusával. Ennek a legutolsó kísérletnek az eredményét a videó végén látjátok.
A meccs: G DATA vs. Tamás zsarolóvírusa
Frissítés: 2018. 02. 15.-én:
Az esemény óta eltelt néhány nap, így joggal kérdezhetjük meg újra, hogy most mi a helyzet a VirusTotal felismeréssel.
Az különböző víruslaboratóriumoknak illik feldolgozniuk az új vírusmintákat, és azok felismerését beépíteni a hagyományos, szignatúra alapú felismerésbe is. Ez mutatja, hogy az adott víruslaboratórium folyamatosan végzi a munkáját, és feldolgozza az új kártevőket.
Ezért a különböző mintákat ismét feltöltöttük a VirusTotal oldalára. Az eredmények szerint a G DATA már a hagyományos vírusvédelem segítségével is megállítja mindhárom fájlt, de bőven akadnak olyan konkurensek, akik még nem ismerik Tamás zsarolóvírusát (az egyik minta esetében például mindössze 8 motor ad riasztást a 67-ből.)
Íme az eredmények (kattints a képekre a megnyitáshoz):
42 Comments
hol lehet letölteni ezt a ransomware -t tesztelés céljából?
A vírusmintát? Sehol. Nem gondolod, hogy fura lenne egy vírusirtó cégtől, ha megosztaná a kártevőket? Akkor jutsz egy ilyen mintához, ha a szakmában dolgozol. A megfelelő csatornákon ezeket megosztják egymással a cégek.
Hát a 30 napos próbaverziót felraktam. Nem fogom megvenni.
Tény, hogy igen hatékony, de ha nincs i7 procid legalább 16Gb rammal, és SSD, akkor felejtős.
Szó szerint meg tizedelte az alacsony kategóriás gépem teljesítményét.
Pedig nem lenne drága, ha ez a bibi nem lenne, még meg is venném. De így esélytelen…
Az, hogy i7 kell neki, netto baromság.
Az SSD minden Win10-hez kell, mindegy mit csinálunk.
Ha az ember használni akar erőforrásokat, ahhoz kell, hogy erőforrásokkal rendelkezzen. Minél többet tud egy alkalmazás, annál több erőt visz el a gépből.
Akinek fontosabb az alacsony terhelés, mint a biztonság, az maradjon a defendernél.
Az nem fogyaszt, és nem véd.
A tapasztalatok szerint ez akkor is előfordulhat, ha a felhasználó nem, vagy rosszul távolítja el előző vírusírtóját. Érdemes annak a gyári eltávolítóját lefuttatni, majd újratelepíteni a G Data szoftverét is. Egyébként még csak Core i3 sem kell….
Nekem tökéletes! Meg is Vàsàroltam nemrégen. )))) Mindent jelez, nem lassítja a laptopom, pedig màr 7 éves)))) Köszönöm A Fejlesztőknek G Data!!!)))
SSD? Egy mostani hagyományos winyó is tudja azt az írási/olvasási sebességet!
Ez a virus mar több mintegyeves
nem-nem….
500-Mb,nem-semmi,de 3at talált,köszönöm.
Én kipróbálom,aztán meglátjuk
Néhány nappal később…
Ez is megnyugtat, hogy 2016-ban jól döntöttem.
Igen ilyen a defender a régebbi jó programokat vírusnak hazudva törli kérdés nélkül a valódi kártevők ellen meg semmit sem ér…
A “régebbi jó programok” alatt a mindenféle hacktool és keygen progikat érted, ugye? 😛
Nem még véletlenül sem…
Vállalatirányítási rendszer alapmotorját is törölte… erről ennyit
Laca Ruzicska Ez megtörténhet, ha az adott rendszer gyártója rosszul programozza le a rendszerét, és nem tartja be a biztonsági alapokat. A vállalatirányítási rendszer tud úgy viselkedni, ahogyan a kártevők szoktak (például távoli szerverről fájlokat tölt le a gépre). Ha a fejlesztő nem használ érvényes digitális aláírást, az például problémát jelenthet.
Ha valóban téves riasztásról van szó, akkor az informatikus feladata, hogy a fájlt hozzáadja a kivételek közé, így a G DATA nem fogja bántani. Ezután a fájlt be kell küldeni a víruslaboratóriumba, ahol fehérlistázni fogják a munkatársaink. Onnantól kezdve a G DATA nem ad majd riasztást az adott fájlra.
Ez minden egyes vírusirtó esetében így működik, a G DATA a többiekhez képest igyekszik gyorsabban reagálni az ilyen kérésekre. Még egy kis kiegészítés: nem a G DATA törli az adott fájlt. A G DATA riasztást ad a fájlra, az informatikus pedig törli. Az informatikus állítja be, hogy mi legyen az alapértelmezett reakció a fertőzött fájlok esetében.
Nem azért, de a videó elején jól látszik, hogy pár vírusirtó már jelzett rá, míg a GData (és a többi) nem.
És? Ez nem igazán jelent ebben az esetben semmit sem… Ha figyelmesen nézed, látod, hogy a Microsoft is “ismerte”….
Csak nem csinált semmit…. Xd
Félelmetes!