Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.

Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team

Ransomware: Bieten AV und Suite den gleichen Schutz?

Alles rund um Security Suiten.
Consultant
Einsteiger
Einsteiger
Beiträge: 11
Registriert: Di 28. Okt 2014, 21:07
Betriebssystem: Windows 10 Pro
Browser: Firefox
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#91

Beitrag von Consultant » So 13. Nov 2016, 22:19

Ransomware ist so eine Sache. Wie bereits vom Threadsteller selbst angemerkt, hilft wohl die richtige Backup Strategie am Meisten.
Hier aber ein paar meiner Gedanken zum Thema AV-Schutz.

- Ransomware kann erkennt werden durch Verhaltensbeobachtung, beginnt beispielsweise ein Programm unautorisiert damit Daten zu
verschlüsseln müsste die Security Lösung dies blockieren
- Sandboxing ist so eine Sache. Leider gibt es inzwischen Trojaner Kits, welche so intelligent sind, dass sie erkennen wenn sie in einer Sandbox
laufen und sich dann mal ganz brav verhalten.
- Momentan sehe ich bei den Enterprise Lösungen ganz klar die Tendenz zu Maschine Learning und KI
- auf eine Signatur/Heuristik basiernde Lösung kann man sich kaum noch verlassen

Benutzeravatar
Calimero
Foren Experte
Foren Experte
Beiträge: 2249
Registriert: So 27. Mär 2016, 12:38
Betriebssystem: Windows 10/64
Browser: Opera
Firewall: Windows Firewall
Virenscanner: Trend Micro IS 12
Wohnort: Grasberg bei Bremen
Hat sich bedankt: 2 Mal
Danksagung erhalten: 19 Mal
Kontaktdaten:

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#92

Beitrag von Calimero » So 13. Nov 2016, 23:36

- Ransomware kann erkennt werden durch Verhaltensbeobachtung, beginnt beispielsweise ein Programm unautorisiert damit Daten zu
verschlüsseln müsste die Security Lösung dies blockieren
hi consultant
im grunde ist das richtig... das problem ist das in den meisten fällen erst das av ermittelt und ausgeschaltet wird und erst dann die ransomware eingeschleust und gestartet wird. meist ist der selbstschutz der av´s das problem der an prozess hollowing oder polymorphe schadware kapituliert (siehe post 45).

-Trend Micro Internet Security 12 (2018)
-Avira Phantom VPN
-Zemana Antimalware
-Sticky Password Premium

Benutzeravatar
darktwillight
Administrator
Administrator
Beiträge: 11261
Registriert: Mo 5. Aug 2013, 00:51
Betriebssystem: Win10.Pro
Browser: FF/chrome
Firewall: Emsisoft
Virenscanner: Emsisoft
Hat sich bedankt: 5110 Mal
Danksagung erhalten: 1693 Mal

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#93

Beitrag von darktwillight » Mo 14. Nov 2016, 11:06

Obwohl noch Krank mal ein paar Argumente:
  • @Calimero Schreibt:
    Selbstschutz der av´s das problem der an prozess hollowing oder polymorphe schadware kapituliert (siehe post 45).
  • Aha also funktioniert Prozess Hollowing und polymorphe Schadware nur auf Betriebssystem
    mit installierter AV? :thinking:
  • Mal eineInfos zu Prozess Hollowing:
    [meinvideo]eFZ6PW_hJno[/meinvideo]
  • Hmm also ein Prozess wird z.b durch malware Ausgetauscht, und gaukelt dem Betriebssystem
    ein Regulären Prozess vor.
  • (Also das Betriebssystem lässt zu das man einen X beliebigen Prozess
    gegen einen anderen Prozess austauscht.
    Das ist also ein Sicherheitsproblem des Betriebssystems, das darf eigentlich nicht möglich sein!
    Hier Versagt das ganze Sicherheitskonzept von Microsoft!!!
  • So jetzt zu den AV´s:
    Eine Av die z.b nur auf Signaturen beruht, und die Malware nicht erkennt , kann auch nicht
    einen Austausch von Regulären Prozess und Namensgleichen Schadprozess verhindern.
    So bleibt nur Intelligente Hips - BB wie z.b von Emsi-Eset-Kaspersky-Comodo Sandbox verfahren,
    die Schlimmeres verhindern!
Zu Polymorphe Viren
  • Zitat:Polymorphe Viren
    Diese Art von Viren ändern ihre Gestalt von Generation zu Generation, teilweise vollkommen. Das geschieht oft in Kombination mit Verschlüsselung – hierbei wird eine variable Verschlüsselung benutzt. Ein Teil des Virus muss jedoch in unverschlüsselter Form vorliegen, um bei der Ausführung den Rest zu entschlüsseln. Um auch diesen Teil variabel zu gestalten, wird die Entschlüsselungsroutine bei jeder Infektion neu erstellt. Die Routine, die die Entschlüsselungsroutine immer neu erstellt, befindet sich dabei selbst im verschlüsselten Teil des Virus und kann zum Beispiel voneinander unabhängige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.
    Quelle: https://de.wikipedia.org/wiki/Computerv ... rphe_Viren
  • Auch hier ist es so das bei vielen dieser Polymorphe Viren, Systemprozesse benutzt
    -verändert und so weiter ..werden.
    Und auch hier gilt :So bleibt nur Intelligente Hips - BB wie z.b von Emsi-Eset-Kaspersky-Comodo Sandbox verfahren,
    die Schlimmeres verhindern!
Eine Kleine Anmerkung: zu
  • "Sandboxing ist so eine Sache.
    Leider gibt es inzwischen Trojaner Kits, welche so intelligent sind, dass sie erkennen wenn sie in einer Sandbox
    laufen und sich dann mal ganz brav verhalten."
  • Ja das ist Richtig, aber man spricht von ca 1bis 2% von Malware und Kits die das Erkennen,
    da eine Erkennung von den verschiedenen Sandboxverfahren sehr Aufwendig ist.
    Der Große teil von Kits und Malware jeglicher Art, versucht eine solche Überprüfung
    überhaupt nicht.
  • Also bleiben nur Intelligente Malware Erkennung & Verhinderungssysteme,
    um neue Bedrohungen erkennen - behindern und verhindern zu können.
Bild
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz

Leider bringt die Wahrheit nicht immer Gerechtigkeit

Benutzeravatar
Calimero
Foren Experte
Foren Experte
Beiträge: 2249
Registriert: So 27. Mär 2016, 12:38
Betriebssystem: Windows 10/64
Browser: Opera
Firewall: Windows Firewall
Virenscanner: Trend Micro IS 12
Wohnort: Grasberg bei Bremen
Hat sich bedankt: 2 Mal
Danksagung erhalten: 19 Mal
Kontaktdaten:

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#94

Beitrag von Calimero » Mo 14. Nov 2016, 13:27

ohne av gehts natürlich noch leichter :klasse:

-Trend Micro Internet Security 12 (2018)
-Avira Phantom VPN
-Zemana Antimalware
-Sticky Password Premium

Benutzeravatar
darktwillight
Administrator
Administrator
Beiträge: 11261
Registriert: Mo 5. Aug 2013, 00:51
Betriebssystem: Win10.Pro
Browser: FF/chrome
Firewall: Emsisoft
Virenscanner: Emsisoft
Hat sich bedankt: 5110 Mal
Danksagung erhalten: 1693 Mal

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#95

Beitrag von darktwillight » Do 29. Dez 2016, 16:12

  • Test mit abelssoft.de AntiRansomware
[meinvideo]AG55k8Sygu8[/meinvideo]
  • Emsisoft IS with RanSim Ransomware Simulator
[meinvideo]taoRB0nsHTU[/meinvideo]
Bild
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz

Leider bringt die Wahrheit nicht immer Gerechtigkeit

Benutzeravatar
Calimero
Foren Experte
Foren Experte
Beiträge: 2249
Registriert: So 27. Mär 2016, 12:38
Betriebssystem: Windows 10/64
Browser: Opera
Firewall: Windows Firewall
Virenscanner: Trend Micro IS 12
Wohnort: Grasberg bei Bremen
Hat sich bedankt: 2 Mal
Danksagung erhalten: 19 Mal
Kontaktdaten:

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#96

Beitrag von Calimero » Do 29. Dez 2016, 16:55

abelssoft. welche signatur haben die? ne eigene haben die doch bestimmt nicht...

-Trend Micro Internet Security 12 (2018)
-Avira Phantom VPN
-Zemana Antimalware
-Sticky Password Premium

Benutzeravatar
darktwillight
Administrator
Administrator
Beiträge: 11261
Registriert: Mo 5. Aug 2013, 00:51
Betriebssystem: Win10.Pro
Browser: FF/chrome
Firewall: Emsisoft
Virenscanner: Emsisoft
Hat sich bedankt: 5110 Mal
Danksagung erhalten: 1693 Mal

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#97

Beitrag von darktwillight » Do 29. Dez 2016, 17:05

Das kann ich Dir nicht sagen ob sie überhaupt
eine Signatur haben.

Zitat:
  • Hintergrundwächter für Ihre Daten

    Während Erpressungs-Trojaner von vielen Anti-Viren-Programmen nicht rechtzeitig erkannt werden, besitzt AntiRansomware einen Hintergrundwächter, der hochentwickelte Erkennungs-Algorithmen nutzt und Ihr System rund um die Uhr überwacht.
  • Das doppelte Netz gegen Ransomware

    Wird ein Erpressungs-Trojaner erkannt, startet das Tool ein Notfall-Programm, das die Verschlüsselung verhindert und Ihnen wertvolle Tipps gibt, wie Sie die Malware wieder loswerden.
Quelle: https://www.abelssoft.de/de/windows/Sic ... Ransomware
Bild
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz

Leider bringt die Wahrheit nicht immer Gerechtigkeit

Benutzeravatar
Jekyll Hyde
Foren Legende
Foren Legende
Beiträge: 2658
Registriert: Di 24. Mai 2016, 10:45
Betriebssystem: X 1809
Hat sich bedankt: 945 Mal
Danksagung erhalten: 1874 Mal

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#98

Beitrag von Jekyll Hyde » Fr 30. Dez 2016, 13:52

C@limero, das ist ja mal ein geiles teil http://www.pc-sicherheit.net/post106445.html#p106445 "KnowBe4 RanSim Tool"
hat mich mit mein bisher gedachtes so Super AV ESET erst einmal back to earth gebracht.

Ich bin gerade so etwas von shattered :shock:

Zemana AntiLogger hat mir die Installations- .exe zweimal in die Quarantäne gepfeffert, erst ausschalten des Echtzeitschutz konnte die Installation erfolgen.

Dann bei der Installation wurde nichts beanstandet.
ESET AV IS befand sich im Testversuch bei den HIPS im "Automatischen Modus" + danach im " Smart Modus". Beide
Durchgefallen
I.JPG
ESET HIPS "Regelbasierter Modus" passiert gar nichts, läuft sich sozusagen tot
ESET HIPS regelbasierter_mode.JPG
ESET HIPS im "Interaktiven Modus" erfolgt eine Meldung, jedoch zu spät
Durchgefallen
zu spät.JPG
Zuletzt geändert von Jekyll Hyde am Fr 30. Dez 2016, 14:26, insgesamt 1-mal geändert.
ESET

Benutzeravatar
Jekyll Hyde
Foren Legende
Foren Legende
Beiträge: 2658
Registriert: Di 24. Mai 2016, 10:45
Betriebssystem: X 1809
Hat sich bedankt: 945 Mal
Danksagung erhalten: 1874 Mal

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#99

Beitrag von Jekyll Hyde » Fr 30. Dez 2016, 14:09

Teil II:

Folgt als letztes ESET HIPS der " Trainings Modus ". *-
Dieser wurde bestanden.
Allerdings auch für mich etwas zweifelhaft. Weil bei ESET erfolgte keine (Er)Kennung, keine Abfrage, kein Fenster.
Frage ich mich woher bezieht ESET in diesem Fall seine Schutzmechanismen.
ESET Trainingsmod.- keine_abfrage.JPG
Insgesamt darf die Frage gestellt werden.
Kann man es wirklich mit einem vergleichbaren RANSOMEWARE Tool vergleichen oder ist es doch nur ein Simulator.
Denn es ist ja schon installiert und ahmt erst dann die Simulation einer RANSOMWARE nach ?!

Im Vergleich mit darktwillights Vergleich mit Emsisoft schneidet ESET hier verheerend schlecht ab.

*- Geändert. falsche Modus Angabe korrigiert
ESET

Benutzeravatar
Schulte
Fortgeschrittener
Fortgeschrittener
Beiträge: 109
Registriert: Fr 19. Aug 2016, 20:53
Wohnort: Hechingen
Hat sich bedankt: 20 Mal
Danksagung erhalten: 75 Mal

Re: Ransomware: Bieten AV und Suite den gleichen Schutz?

#100

Beitrag von Schulte » Fr 30. Dez 2016, 15:12

Jekyll Hyde hat geschrieben:Insgesamt darf die Frage gestellt werden.
Kann man es wirklich mit einem vergleichbaren RANSOMEWARE Tool vergleichen oder ist es doch nur ein Simulator.
Es ist nur ein Simulator. Mit echter Ransomware kannst Du es nicht vergleichen.

Das Programm hat eine gültige digitale Signatur und richtet keinerlei Schaden an. Warum sollte eine AV-Lösung hier einschreiten? Das wäre ein FP. Anders als z.B. EICAR handelt es sich nicht um einen Teststandard.

Hier noch KLs Einschätzung: http://whitelisting.kaspersky.com/advis ... e7c4d0fc8c

Antworten

Zurück zu „Security Suiten“