CTB-Locker vs antiEXE video
#1
Żeby łatwo potem znaleźć:

[Aby zobaczyć linki, zarejestruj się tutaj]



CTB-Locker vs ZemanaAL v1.9.3.602:

[Aby zobaczyć linki, zarejestruj się tutaj]

(sys 32bit)

CTB-Locker vs ZemanaAL v1.9.3.602:

[Aby zobaczyć linki, zarejestruj się tutaj]

(sys 64bit)

CTB Locker vs HitmanPro Alert v3 RC build 143:

[Aby zobaczyć linki, zarejestruj się tutaj]


CTB-Locker vs SpyShelter FW v9.6.3:

[Aby zobaczyć linki, zarejestruj się tutaj]

(domyślne ustawienia)

CTB-Locker vs SpyShelter FW v9.6.3:

[Aby zobaczyć linki, zarejestruj się tutaj]

("podkręcone" ustawienia)

[dodano 2015.03.06]
CTB-Locker vs Online Armor v7.0.0.1866:

[Aby zobaczyć linki, zarejestruj się tutaj]

KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#2
Zerknąłem na każde nagranie i co prawda nie zagłębiałem się w nie, ale z tego co zauważyłem, to HPA spisał się całkiem całkiem. Bardzo dobrze. Tymczasem szkoda, że SpyShelter nie podołał. Dzięki za filmiki!
SpyShelter Firewall
Odpowiedz
#3
Dzięki za testy.
A próbowałeś testować SpyShelter z aktywną opcją wczesnego startu? Być może po restarcie szkodnik uruchomił się jako pierwszy i dlatego nie został zablokowany.
Odpowiedz
#4
U mnie SpyShelter nie dopuszcza do zaszyfrowania, i z tego co widzę mam więcej komunikatów.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#5
Tak samo u mnie. Po zakończeniu procesu i restarcie nie szyfruje plików.
Odpowiedz
#6
a shadow defender radzi sobie z nim ?
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#7
Kurde...nie wiem, gdzie znaleźć punkt zaczepienie, żeby się przyczepić do testu...SS nie dał rady i chyba nie rozumiem tego. Nie wiem, jak z innymi kombinacjami w opcjach, ale na pewno automatyczne blokowanie podejrzanych zachowań było wyłączone...i to chyba tyle...może jeszcze gdyby zamiast "zakończ" wcisnąć "blokuj", choć w regułach było jak byk, że zablokowane wszystkie akcje...to dziwne. W pliku pomocy odnośnie "zakończ" jest może istotna informacja - podkreśliłem ją.
Cytat:Poza opcją Zezwól i Zablokuj istnieje jeszcze opcja Zakończ.

Opcja Zakończ natychmiast blokuje daną akcje i zamyka proces który ją wywołał, jednocześnie tworząc regułę która zapobiegnie uruchomieniu tej aplikacji w przyszłości.

Uwaga: Akcja ta nie zakańcza procesów-dzieci danego procesu.
To może być ewentualne wytłumaczenie zachowania SS.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
No ale w ustawieniach w obu testach był checkbox przy "Zakończ procesy potomne". Więc musi zamykać "procesy dzieci". Z tego co zauważyłem w teście tommy''ego SS nie zareagował na główny plik (8002e....exe) tylko pokazał alert na procesie dziecku(yqprmcc.exe) i to już było po jabłkach. Natomiast u F4z''a widać alert głównego exe i wystarczyło dać zakończ i zostały zamknięte również procesy dzieci i co za tym idzie nie doszło do infekcji.
Dziwne to bardzo.
Odpowiedz
#9
Ten bezinstalacyjny programik Bitdefendera też blokuje CTB-Lockera.

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Gdy próbuje się uruchomić szkodnika, nie ma żadnych komunikatów. Nic się nie dzieje. Jego proces jest blokowany. Po restarcie także.
Odpowiedz
#10
Ciekawe jak sobie radzi OA z tym szkodnikiem.Blokuje raczej na pewno,
pytanie w której fazie i jakie daje komunikaty.

A program Bitdefendera chyba blokuje podobne lokalizacje jak CryptoPrevent...
Odpowiedz
#11
Czy ktoś mógłby przetestować na tej samej próbce starą wersję SpySheltera - 9.6.1? To wg mnie wersja przed ostatnimi zmianami w programie, które spowodowały pewnie większą wygodę, bo program sam podejmuje decyzje, ale równocześnie stał się mniej "wrażliwy i gadatliwy". Jak będzie potrzeba, to mogę udostępnić instalkę.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#12
@Ichoto bede miał czas to sprawdzę na każdym sofcie przekroju HIPS jaki posiadam i dam ci obszerne info

Instalki możecie pobrać odemnie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#13
Nie ma jednak chyba sensu testować programów już nierozwijanych i czasem zapomnianych - pewnie dobrze byłoby sprawdzić OA, Privatefirewall, Outpost...to zapory, ale wszystkie z modułem proaktywnym, który jest ceniony za skuteczność.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#14
OA radzi sobie z tym zagrożeniem nie szyfruje plików.
Spyshelter 9.6.3 radzi sobie z tym przy funkcji zapamiętaj wybór > zastosuj wybór i zamknij proces,nie radzi sobie w ogóle przy zapamiętaj wybór > zastosuj wybór i zablokuj.

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Comodo
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.

Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
Odpowiedz
#15
tachion napisał(a):Comodo
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.

Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
Comodo najlepiej poradzi sobie z tym, przy użyciu funkcji: "Blokuj, zamknij proces i cofnij zmiany".

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#16
Quassar napisał(a):a shadow defender radzi sobie z nim ?

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#17
A teraz pytanie może retoryczne...czy Wasze testy były na kontach admina czy zwykłego użytkownika? Bo interesujące by było wiedzieć, czy konto z restrykcjami daje jakąś odporność na takie kryptolokery.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#18
Szczerze wątpię, nie próbuje modyfikować plików systemu, tylko zdjęcia/dokumenty szyfruje, wręcz logicznym byłoby robić lockery w taki sposób, żeby nie tykały się rzeczy związanych z systemem w celu zmniejszenia możliwości wystąpienia jakiegoś alertu.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#19
M''cin napisał(a):Szczerze wątpię, nie próbuje modyfikować plików systemu, tylko zdjęcia/dokumenty szyfruje, wręcz logicznym byłoby robić lockery w taki sposób, żeby nie tykały się rzeczy związanych z systemem w celu zmniejszenia możliwości wystąpienia jakiegoś alertu.
To prawda, że efektem są wybrane rodzaje plików, ale proces do uruchomienia potrzebuje określonych zasobów i powiązania z systemem...stąd moje pytanie o konto z ograniczeniami. Tym bardziej, że modyfikowane są również domyślnie systemowe lokalizacje jak np. wygaszacze czy tapety.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#20
Przy zamykaniu procesu to Spyshelter również radzi sobie doskonale przy samym blokowaniu (sam HIPS na paranoid) CTB przechodzi Comodo z latwoscia i szyfruje pliki kilkanascie alertow i okolo 7-8 min czekania, pisalem o tym gdzie indziej



zbc napisał(a):
tachion napisał(a):Comodo
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.

Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
Comodo najlepiej poradzi sobie z tym, przy użyciu funkcji: "Blokuj, zamknij proces i cofnij zmiany".
SpyShelter Premium + Avast Free
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości