Wielki test oprogramowania dla domu i dla firm do ochrony przed krypto-ransomware

W przeprowadzonym w październiku 2016 roku teście porównaliśmy skuteczność ochrony kilkudziesięciu programów antywirusowych dla użytkowników indywidualnych oraz dla małych i średnich firm. Sprawdziliśmy także dwie aplikacje (Foltyn SecurityShield oraz Voodoo Shield Pro) tworzone przez niezależnych deweloperów, które z wykorzystaniem dostępnych skorelowanych dynamicznych metod heurystycznych oraz behawioralnych chronią użytkowników przed szkodliwym oprogramowania trochę inaczej niż tradycyjne antywirusy.

Ransomware Petya, to jeden z kilkuset różnych wariantów wirusów typu krypto-ransomware, które zostało dołączone do zestawu szkodliwego oprogramowania biorącego udział w badaniu. Ten szkodnik nie tylko szyfruje pliki, ale także nadpisuje główny rekord ładujący Master Boot Record (MBR) udając przy okazji narzędzie CHKDSK oraz nadpisuje boot loader. Jeżeli użytkownik zainfekuje swój system tym zagrożeniem, przy każdym uruchomieniu komputera ujrzy poniższy komunikat.


Po uruchomieniu szkodliwego załącznika lub pliku pobranego ze strony phishingowej, ransomware Petya powoduje zawieszenie komputera i wyświetlenie tzw. blue screen (modyfikując jednocześnie Master Boot Record). Petya umyślnie powoduje twardy restart systemu, aby wymusić na użytkowniku ponowne uruchomienie komputera i załadowanie procedury szyfrowania. 

Wstęp do testu

W ostatnich latach (jak i szczególnie w przedwakacyjnych miesiącach) obserwowaliśmy gwałtowny wzrost ataków z udziałem złośliwego oprogramowania należącego do rodziny krypto-ransomware. Tylko do naszej redakcyjnej skrzynki spływało kilkanaście e-mail tygodniowo z prośbą o odszyfrowanie plików (pomijamy już prośby telefoniczne, których było jeszcze więcej).

Co ciekawe, większość klientów była skłonna zapłacić za usługę odszyfrowania plików, jednak tylko w kilku przypadkach udało się bezproblemowo przywrócić wszystkie dane. Pozostali nieszczęśnicy — zarówno użytkownicy domowi, jak i administratorzy firm, bezskutecznie musieli zmagać się ze skutkami ataków najdziwniejszych mutacji krypto-ransomware: a te, ze względu na zastosowanie szyfrowania AES kluczem publicznym RSA, uniemożliwiały odzyskanie plików bez zapłacenia okupu lub bez przywrócenia danych z kopii zapasowej.

We wstępie do testu chcieliśmy zobrazować wszystkim czytelnikom skalę i powagę zagrożenia wirusów ransomware, z jaką mamy do czynienia. Zebrane przez nas dane statystyczne są unikalne w skali kraju. Zostały nam udostępnione przez kilka firm, które zajmują się dostarczaniem produktów zabezpieczających na rynek polski, w tym dysponują kadrą ekspertów, którzy zajmują się analizą zagrożeń.




Podobne artykuły

  Sprawdzanie skuteczności tak zwanych skanerów antywirusowych na żądanie pod kątem...

Komentarze

Obrazek użytkownika Kermit

Super test! Długo na niego czekałem, dobra robota ;)
Cieszy mnie fakt że Arcabit potwierdza swoja skuteczność, całkiem dobre wyniki uzyskały też Eset 10 Beta oraz Avast Internet Security.
Teraz będę czekać na poszczególne standardowe testy wyżej wymienionych AV.
Obecnie testuje stabilną wersję ESET IS 10 i jest bardzo dobrze.
Z początku było nie najlepiej ale po paru dniach i aktualizacjach wszystko jak najbardziej na plus.
Ciekawy będzie też nowy Avast.
Gratulacje Arcabit! :)

Obrazek użytkownika ichito

Interesujący artykuł, który staje się pewnego rodzaju monografią tego typu szkodników...informacje, statystyki, opinie...ale gdzie jest test, o którym w tytule? Gdzie wyniki dla poszczególnych programów/producentów? Czy tylko ja nie widzę? :)
---------
edit
OK...plik pdf :)

Obrazek użytkownika Anonim

Mam 2 pytania odnośnie przeprowadzonego testu:
1. Oprócz zainstalowanego programu AVG Internet Security, mam jeszcze Malwarebytes Anty-Ransomware (beta). Jak widać po testach wypadł on niestety fatalnie. W takim razie usunę go i zainstaluję darmowego Bitdefender Anty-Ransomware. Czy ta aplikacja ma taką samą skuteczność wykrywania, jak choćby Bitdefender Free ?. Pytam ponieważ nie robiliście oddzielnych testów dla tej konkretnej aplikacji.
2. Czy ktoś z Państwa zna polski, sprawdzony sklep internetowy, gdzie można kupić licencję na program Zemana Anty-Malware ?. Czy ten program może bez problemu działać z moim AVG ?.
Z góry dziękuję za odpowiedzi :)
Pozdrawiam

Obrazek użytkownika Adrian Ścibor

#3 Bitdefender anty ransomware I free to dwie różne aplikacje. Ta pierwsza chroni tylko przed konkretnymi odmianami krypto-ransomware. Ta druga to AV w chmurze, ale ma gorszą ochronę niż płatny Bitdefender co chyba jest oczywiste.

Zemany nikt nie ma w polskiej dystrybucji. Musisz kupić ze strony producenta.

Jeżeli chodzi o Zemana Anti-Malware to pełnoprawny antywirus. Nie łącz go z innym.

Obrazek użytkownika Anonim

Probably a formatting issue, ZoneAlarm is mentioned as "Best+++" on page 3 but then it disappears on the summary page 13.

Obrazek użytkownika Adrian Ścibor

#5 Damn it :) You are right, thanks for that. And corrected.

Obrazek użytkownika Morphiusz

Świetny test! Można poznać szczegóły nieprzyznania punktów dla CIS 10 Beta i CIS w wersji stabilnej?

Obrazek użytkownika Adrian Ścibor

#7 Szczegóły są opisane w teście. Co można jeszcze dodać: na ustawieniach domyślnych wyniki są, jakie są. Comodo w wersji BETA 10 na ustawieniach domyślnych - w co nie wierzyłem po teście - wypadł bardzo kiepsko. Jednak opcje odpowiedzialne za auto-sandbox były wyraźnie włączone w domyślnej konfiguracji i nic przed testem nie wskazywał, że coś może pójść nie tak w przypadku plików nierozpoznanych w chmurze oraz w sygnaturach - co powinno spowodować uruchomienie aplikacji w piaskownicy. Ochrona okazała się nieskuteczna. Coś na pewno skopali lub nie dopracowali w wersji BETA.

Na korzyść Comodo Antivirus Cloud zapracował mechanizm analizy w chmurze - Valkyrie. Było to widać w kilku przypadkach i sprawdzało się to tam, gdzie CIS 8 i CIS10 BETA nie popisał się z najlepszej strony (pomimo marketingowych zapewnień jedynej skutecznej ochrony przed malware 0-day).

Obrazek użytkownika Morphiusz

Tak jak CIS 10 obecnie może powodować pewne problemy - to nie rozumiem wyniku CIS 8.4 Tzn nie ma siły, aby aplikacja uruchomiona w piaskownicy (a każdy z tych plików powinien być uruchomiony w piaskownicy) zaszyfrowała cokolwiek. Więc albo aplikacja nie była uruchomiona w piaskownicy bo Comodo nawaliło - albo - test nawalił (Comodo traktuje pliki jak zaufane, które są już na maszynie przed instalacją, jak popatrzymy na ustawienia piaskownicy to zobaczymy, że plik musi mieć pochodzenie z internetu, dysku wymiennego itd. aby być umieszczona w piaskownicy).

Obrazek użytkownika Adrian Ścibor

W przypadku CIS 8 było tak jak piszesz - w kilku przypadkach aplikacja nie została uruchomiona w piaskownicy, co zakończyło się zaszyfrowaniem plików. Nie ma tutaj wielkiej filozofii. Albo Comodo chroniło przed nieznanym zagrożenie, albo nie chroniło. Niestety nie zawsze chroniło, dlatego też wynik taki a nie inny.

Obrazek użytkownika ichito

O ile znam i w miarę regularnie śledzę rozwój VoodooShield, o tyle drugiej z testowanych aplikacji "tworzonych przez niezależnych deweloperów" nie znam i nie znajduję póki co żadnych o niej informacji poza tym testem...chodzi o Foltyn SecurityShield. Czy autorzy testu/redakcja jest w stanie odpowiedzieć, co to za program?...jakoś bardziej go przybliżyć, bo jego wersja nr 1.0.0 świadczy o tym, że to jakaś "nówka nieśmigana", a skoro otrzymała przy tym najwyższe noty to można sądzić, że:
- aplikacja jest "fake" i nie istnieje poza wynikami testu
- istnieje, ale jest tylko narzędziem testowym stworzonym na potrzeby testu
- istnieje, nie ma nic wspólnego z samym testem, ale prawdopodobnie z z samym AVLab lub jego otoczeniem
- nie biorę pod uwagę możliwości, że aplikacja "no name" zostałaby testowana w towarzystwie softów "z pierwszych stron gazet"...takich rzeczy się po prostu nie robi :)

Obrazek użytkownika Adrian Ścibor

#11 Będzie wkrótce informacja o tej aplikacji. Strona WWW jest w trakcie tworzenia, na której będzie udostępniona wersja BETA. Obecna wersja to 1.0.10. Jej deweloper po prostu się spóźnił. Wersja testowa wraz ze stroną miała być udostępniona w dniu opublikowania testu.

Obrazek użytkownika ichito

OK...czekam więc :)

Obrazek użytkownika Anonim

#12 Rozumiem, że to jest ta strona internetowa programu: http://www.foltyn.com/. Przyznam, że nie zwróciłem uwagi podczas testu na tą aplikację, a z
strony www wynika, że jest ona dziełem naszego rodaka. Standardowo mam kilka pytań z nią związanych .

Czy mogę tą aplikację zainstalować razem z antywirusem (AVG IS), nie będą się "gryzły" ?.

Czy podczas testu nie sprawiała ona jakiś problemów ze stabilnością samego systemu itd. (pytam bo to raczej jest jeszcze bardzo wczesna beta i trochę boję się, że coś może mi "uszkodzić") ?

Jako, że jest to niezależny developer za których raczej nie stoją wielkie pieniądze , to czy ta aplikacja jest tworzona tylko przez jedną osobę (pasjonata), czy jest to grupa osób ?. Chodzi mi głównie o to, żeby nie było sytuacji, że komuś się np. "odechce" po jakimś czasie jej tworzenia lub czynniki losowe uniemożliwią mu dalsze jej rozwijanie.

Czekam z niecierpliwością na Pana artykuł na temat tej aplikacji i zasadna jakich ona działa, że osiąga tak dobre wyniki na równi z programami firm antywirusowych znanych na całym świecie.
Pozdrawiam

Obrazek użytkownika Adrian Ścibor

#14 Zgadza się, właśnie miałem o tym pisać po wczorajszych wieczornych konsultacjach z deweloperem.
Strona będzie systematycznie rozwijana w miarę postępu prac nad programem. Program robiony jest głównie z myślą dla firm, ale nic nie stoi na przeszkodzie, aby go sobie wypróbować. Podstawowa różnica pomiędzy Foltyn SecurityShield a "zwykłym" antywirusem jest taka, że programów bazuje tylko na behawiorystyce. Żadnych sygnatur. Podczas testów sprawdzał się doskonale. Po testach do tej pory sprawdza się b.dobrze, czyli nie generuje fałszywych alarmów, jest bardzo lekki. Obok innego AV może "stać". Jednak śmiem twierdzić, że może on całkowicie zastąpić AV, jeśli ktoś na pewno nie potrzebuje tradycyjnego skanera.

Postaram się te wszystkie wątpliwości wytłumaczyć podczas recenzji i testu.

A co do samego autora. Nie jest to tajemnicą - Łukasz Foltyn. Nazwisko dla wielu bardzo znane w tej branży i nie tylko w tej (wieloletni programista). Ale może sam autor coś nam zdradzi.

Program można pobierać z: www.foltyn.com . Aplikacja jest podpisana, więc nie jest to żaden no-name.

Obrazek użytkownika Tadeusz Tadeo

#15
Bardzo dziękuję za odpowiedzi. Ciekawi mnie po tym co Pan napisał, czy ten program po przejściu do wersji stabilnej, będzie dalej bezpłatny, skoro jest on głównie adresowany dla firm, a już nie jako troszkę mnie "zszokowało" stwierdzenie, że może on zastąpić tradycyjny program antywirusowy :).
Mam jeszcze jedno pytanie odnośnie samego testu, mianowicie chodzi o te opcje "0/1" i "1", gdy plik ransomware został zablokowany.
Czy może Pan wytłumaczyć w sposób dostępny dla "laika" :), czym różnią się te 2 rodzaje zablokowania złośliwego pliku ?. Czy któryś z nich jest lepszy ?.

Obrazek użytkownika ichito

"No-name" oznacza w kontekście, że jest absolutnie nieznana na rynku...anonimowa...nie, że jest niepodpisana :) Dla Was jest znana...dla reszty wcale. Sprawdza się więc moje przypuszczenie nr 2
"istnieje, ale jest tylko narzędziem testowym stworzonym na potrzeby testu"...na stronie programu jest dość jasna informacja - "For the initial versions, it was especially designed to detect (and block) ransom malware."
numer 3
- istnieje, nie ma nic wspólnego z samym testem, ale prawdopodobnie z z samym AVLab lub jego otoczeniem...autor i program były redakcji znane, ale informacje nie były publikowane jeszcze przez kilka dni od ogłoszonych oficjalnie wyników...a może chodziło o numer 4? :)
"nie biorę pod uwagę możliwości, że aplikacja "no name" zostałaby testowana w towarzystwie softów "z pierwszych stron gazet"...bo kto wie, jakby program wypadł w testach? Nie oczekuję wyjaśnień...tak sobie gdybam :)
Każdy nasz rodzimy produkt jest oczekiwany z nadzieją, że będzie skuteczny i że odniesie sukces nie tylko lokalny...jak np. SpyShelter...pozostaje życzyć autorowi cierpliwości i sukcesu :)

Obrazek użytkownika Adrian Ścibor

#16
" czy ten program po przejściu do wersji stabilnej, będzie dalej bezpłatny" - nie wiem, wszystko jest w toku. Nie znam takich szczegółów.

"może on zastąpić tradycyjny program antywirusowy" - to też zależy od wiedzy użytkownika. Program nie ma "kontroli rodzicielskiej", osłony WWW, firewallu, i ochrony w oparciu o sygnatury czy też chmurę. Wszystko działa lokalnie analizując zmiany w rejestrze, plikach, aktywności sieciowej. Monitoruje każdy proces i wszystkie wynikające z tego zdarzenia. Taki inteligentny HIPS z automatycznymi regułami, które jednak nie są możliwe do konfiguracji. Natomiast możliwe jest tworzenie wyjątków, gdyby ktoś naprawdę potrzebował.

"chodzi o te opcje "0/1" i "1", gdy plik ransomware został zablokowany" - niektóre z testowanych programów nie posiadają aktywnego skaner w oparciu o chmurę, reputację plików na podstawie oceny od społeczności, a więc ich skuteczności nie dało się zauważyć inaczej niż wyraźnie poprzez komunikat o zablokowaniu szkodliwej aktywności pliku w systemie, np. podczas modyfikacji pliku $MFT odpowiedzialnego za trzymanie informacji o tablicy plików (ransomware Petya dobiera się do niego), z kolei inne programy mogą taką ochronę posiadać. Wtedy po uruchomieniu otrzymywał taki program 1 (punkt) lub 0/1 (również tak samo ważny punkt z tą różnicą, że plik został wyraźnie zablokowany na podstawie jego analizy przez lokalne mechanizmy behawioralne). 1 i 0/1 należy traktować tak samo istotnie. Okazywało się, że np. DroWeb Katana, który nie posiada sygnatur, a jedynie ochronę behawioralną - zresztą tak samo jak Foltyn SecurityShield i Voodoo Shield Pro - wypadał bardzo kiepsko. Marketingowe zapewnienia producenta o super-ochronie bez sygnatur okazywały się kpiną. W dodatku producent tłumaczył nam to tym, że metodologia nie była dostosowana do ich produktu.... nie skomentuję tego... albo skomentuję w ten sposób: gdybyśmy dostosowali metodologię do ich produktu, otrzymałby nagrodę BEST+++. Po prostu producenci czasami "wiedzą lepiej", czy ich program chroni, czy też nie chroni.

Obrazek użytkownika Adrian Ścibor

#17 "na stronie programu jest dość jasna informacja - "For the initial versions, it was especially designed to detect (and block) ransom malware."

Owszem, ale po wielu rozmowach z deweloperem traktujemy to jako informację marketingową - z uwagi na skalę zagrożenia wirusów ransomware. Tyle się o tym mówi...

Program należy traktować na równi z jakimś HIPS-em, jak Dr.Web Katana, Voodoo Shield, inne... z tą różnicą, że reguły dla "niestandardowych" aplikacji / FP są tworzone przed producenta jak w SpyShelter, więc jest to bardzo automatyczny HIPS i komunikuje o potencjalnym zagrożeniu tylko w momencie wykrycia podejrzanej aktywności / instalacji nieznanego softu. Ów false positive zależą także od społeczności. Im więcej użytkowników, tym więcej metadanych na temat różnego rodzaju oprogramowania i tym większa baza zaufanych aplikacji. Zobaczymy jak to będzie działać w przyszłości.

"Znam" Cię z Safegropu jako aktywnego użytkownika w dziedzinie security, dlatego jeśli będziesz miał jakieś uwagi co do programu, proszę zapisuj je. Możesz się kontaktować też ze mną i producentem, a wszystkie te notatki opublikujemy lub opublikujesz po napisaniu pełnoprawnej recenzji i testu Foltyn SecurityShield na AVLab.

Obrazek użytkownika guma77

#12 witam
co sadzisz o secureAplus ?

Obrazek użytkownika ichito

#19
Tak, to prawda...znamy się z tamtego forum...jestem tam od kilku lat i pozwoliłem sobie na założenie tam wątku o FSS...zresztą na Wildersach również.
Mam nadzieję, że to pozwoli na szerszy ogląd programu i więcej przydatnych komentarzy, które będą mogły wpływać na jego rozwój.
Swoje bieżące uwagi zapisuję...owszem...czy zrobię jakąś recenzję?...nie wiem...na razie nie wiem też, gdzie będę ja publikował, jeśli powstanie ;)

Obrazek użytkownika Adrian Ścibor

#21 W razie czego wiesz, jak się ze mną skontaktować. Zakładka "kontakt". Masz także możliwość na coś takiego: https://avlab.pl/blogosfera-avlab (https://avlab.pl/blog)
Wszystkie opinie, które wnoszą coś sensownego do tematu na pewno będą przydatne. Producent też coś wspominał, że zrobi możliwość na swojej stronie zgłaszania błędów i będzie prowadził changelog. Jest już wersja 1.0.12, więc coś tam systematycznie zmienia się powoli.

Obrazek użytkownika Zeno

Zauważyłem, iż jedno wyróżnienie zostało przyznane błędnie - Zemana AM Premium miała wynik 0/0 w przypadku próbki nr 23, podobnie jak Bitdefender. Stąd przyznane powinno być jej wyróżnienie BEST++, zamiast BEST+++.

Obrazek użytkownika Adrian Ścibor

#23 Z Bitdefenderem wszystko jest w porządku. Wszystkie 3 softy mają po jednym failu, więc Best++ dla każdego. W przypadku Zemany certyfikat jest dobry, to błąd w przepisywaniu wyników.

Obrazek użytkownika Morela

Jak dla mnie najbardziej skuteczny jest arcabit

Obrazek użytkownika Zyga

Mnie właśnie zastanawia, co było próbką nr 23 i na czym się wyłożył Bitek?
Kolejna sprawa - w jaki sposób testujecie? Na ustawieniach podstawowych, zaawansowanych?
I ostatnia - ciekawe, że wszystkie AV oparte na silniku Bitka czyli Gdata Arcabit Fsecure i Emsisoft są wyżej od samego Bitka z funkcją ochrony ransomware ;)
Jeśli Bitek poległ na 23 próbce, czymkolwiek ona jest - to czy chronione pliki uchronił czy cały komp zastał zaszyfrowany?

Obrazek użytkownika Adrian Ścibor

#26 Przepuścił ransomware Petya: https://avlab.pl/ransomware-petya-nie-szyfruje-plikow-uszkadza-system-op... ale późniejszą wersję, na którą nie ma metody odzyskania plików: https://avlab.pl/ostrzegamy-przed-ransomware-petya-w-zawiadomieniu-o-wsz...

"Kolejna sprawa - w jaki sposób testujecie? Na ustawieniach podstawowych, zaawansowanych?" Dokładnie zostało to napisane w akapicie "Metodologia".

"I ostatnia - ciekawe, że wszystkie AV oparte na silniku Bitka czyli Gdata Arcabit Fsecure i Emsisoft są wyżej od samego Bitka z funkcją ochrony ransomware ;)" Ochrona przed ransomware w B jest domyślnie wyłączona i pozwala ona na ochronę wskazanego folderu z plikami, a nie całego systemu. W dodatku różne SDK, różne implementacje u poszczególnych producentów. Po raz kolejny powtarzam, że program X z silnikiem Bitdefendera nie musi mieć identycznej ochrony jak program Y z tym samym silnikiem, ale w różnej konfiguracji.

"Jeśli Bitek poległ na 23 próbce, czymkolwiek ona jest - to czy chronione pliki uchronił czy cały komp zastał zaszyfrowany?" Odpowiedziałem powyżej wstawiając URL do poczytania.

Obrazek użytkownika Zyga

#27
Aż nie chce mi się wierzyć, że Bitek poległ na Petya :) Gdzieś musieliście popełnić błąd w teście :P

Obrazek użytkownika Adrian Ścibor

#28 Podobnie argumentowali to producenci, którzy wypali bardzo kiepsko. Kiedy dostali próbki - od tego czasu cisza. Nie mieli nic więcej do powiedzenia.

Oczywiście w tym momencie B może już wykrywać tę konkretną próbkę, ale w dzień testu tak nie było.

Dodaj komentarz