Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team
Ransomware: Bieten AV und Suite den gleichen Schutz?
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
Ransomware ist so eine Sache. Wie bereits vom Threadsteller selbst angemerkt, hilft wohl die richtige Backup Strategie am Meisten.
Hier aber ein paar meiner Gedanken zum Thema AV-Schutz.
- Ransomware kann erkennt werden durch Verhaltensbeobachtung, beginnt beispielsweise ein Programm unautorisiert damit Daten zu
verschlüsseln müsste die Security Lösung dies blockieren
- Sandboxing ist so eine Sache. Leider gibt es inzwischen Trojaner Kits, welche so intelligent sind, dass sie erkennen wenn sie in einer Sandbox
laufen und sich dann mal ganz brav verhalten.
- Momentan sehe ich bei den Enterprise Lösungen ganz klar die Tendenz zu Maschine Learning und KI
- auf eine Signatur/Heuristik basiernde Lösung kann man sich kaum noch verlassen
Hier aber ein paar meiner Gedanken zum Thema AV-Schutz.
- Ransomware kann erkennt werden durch Verhaltensbeobachtung, beginnt beispielsweise ein Programm unautorisiert damit Daten zu
verschlüsseln müsste die Security Lösung dies blockieren
- Sandboxing ist so eine Sache. Leider gibt es inzwischen Trojaner Kits, welche so intelligent sind, dass sie erkennen wenn sie in einer Sandbox
laufen und sich dann mal ganz brav verhalten.
- Momentan sehe ich bei den Enterprise Lösungen ganz klar die Tendenz zu Maschine Learning und KI
- auf eine Signatur/Heuristik basiernde Lösung kann man sich kaum noch verlassen
- Calimero
- Foren Experte
- Beiträge: 2256
- Registriert: So 27. Mär 2016, 12:38
- Betriebssystem: Windows 10/64
- Browser: Vivaldi
- Firewall: MS + Glasswire
- Virenscanner: Eset NOD32
- Wohnort: Grasberg bei Bremen
- Hat sich bedankt: 2 Mal
- Danksagung erhalten: 22 Mal
- Kontaktdaten:
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
hi consultant- Ransomware kann erkennt werden durch Verhaltensbeobachtung, beginnt beispielsweise ein Programm unautorisiert damit Daten zu
verschlüsseln müsste die Security Lösung dies blockieren
im grunde ist das richtig... das problem ist das in den meisten fällen erst das av ermittelt und ausgeschaltet wird und erst dann die ransomware eingeschleust und gestartet wird. meist ist der selbstschutz der av´s das problem der an prozess hollowing oder polymorphe schadware kapituliert (siehe post 45).
-Trend Micro Internet Security 12 (2018)
-Avira Phantom VPN
-Zemana Antimalware
-Sticky Password Premium
- darktwillight
- Foren Gott
- Beiträge: 13420
- Registriert: Mo 5. Aug 2013, 00:51
- Betriebssystem: Win11.Pro/Zorin17+
- Browser: Firefox
- Firewall: Windows +
- Virenscanner: eset
- Hat sich bedankt: 13593 Mal
- Danksagung erhalten: 4804 Mal
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
Obwohl noch Krank mal ein paar Argumente:
- @Calimero Schreibt:
Selbstschutz der av´s das problem der an prozess hollowing oder polymorphe schadware kapituliert (siehe post 45).
- Aha also funktioniert Prozess Hollowing und polymorphe Schadware nur auf Betriebssystem
mit installierter AV?
- Mal eineInfos zu Prozess Hollowing:
[meinvideo]eFZ6PW_hJno[/meinvideo]
- Hmm also ein Prozess wird z.b durch malware Ausgetauscht, und gaukelt dem Betriebssystem
ein Regulären Prozess vor.
- (Also das Betriebssystem lässt zu das man einen X beliebigen Prozess
gegen einen anderen Prozess austauscht.
Das ist also ein Sicherheitsproblem des Betriebssystems, das darf eigentlich nicht möglich sein!
Hier Versagt das ganze Sicherheitskonzept von Microsoft!!!
- So jetzt zu den AV´s:
Eine Av die z.b nur auf Signaturen beruht, und die Malware nicht erkennt , kann auch nicht
einen Austausch von Regulären Prozess und Namensgleichen Schadprozess verhindern.
So bleibt nur Intelligente Hips - BB wie z.b von Emsi-Eset-Kaspersky-Comodo Sandbox verfahren,
die Schlimmeres verhindern!
- Zitat:Polymorphe Viren
Diese Art von Viren ändern ihre Gestalt von Generation zu Generation, teilweise vollkommen. Das geschieht oft in Kombination mit Verschlüsselung – hierbei wird eine variable Verschlüsselung benutzt. Ein Teil des Virus muss jedoch in unverschlüsselter Form vorliegen, um bei der Ausführung den Rest zu entschlüsseln. Um auch diesen Teil variabel zu gestalten, wird die Entschlüsselungsroutine bei jeder Infektion neu erstellt. Die Routine, die die Entschlüsselungsroutine immer neu erstellt, befindet sich dabei selbst im verschlüsselten Teil des Virus und kann zum Beispiel voneinander unabhängige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.
Quelle: https://de.wikipedia.org/wiki/Computerv ... rphe_Viren
- Auch hier ist es so das bei vielen dieser Polymorphe Viren, Systemprozesse benutzt
-verändert und so weiter ..werden.
Und auch hier gilt :So bleibt nur Intelligente Hips - BB wie z.b von Emsi-Eset-Kaspersky-Comodo Sandbox verfahren,
die Schlimmeres verhindern!
- "Sandboxing ist so eine Sache.
Leider gibt es inzwischen Trojaner Kits, welche so intelligent sind, dass sie erkennen wenn sie in einer Sandbox
laufen und sich dann mal ganz brav verhalten."
- Ja das ist Richtig, aber man spricht von ca 1bis 2% von Malware und Kits die das Erkennen,
da eine Erkennung von den verschiedenen Sandboxverfahren sehr Aufwendig ist.
Der Große teil von Kits und Malware jeglicher Art, versucht eine solche Überprüfung
überhaupt nicht.
- Also bleiben nur Intelligente Malware Erkennung & Verhinderungssysteme,
um neue Bedrohungen erkennen - behindern und verhindern zu können.
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
- Calimero
- Foren Experte
- Beiträge: 2256
- Registriert: So 27. Mär 2016, 12:38
- Betriebssystem: Windows 10/64
- Browser: Vivaldi
- Firewall: MS + Glasswire
- Virenscanner: Eset NOD32
- Wohnort: Grasberg bei Bremen
- Hat sich bedankt: 2 Mal
- Danksagung erhalten: 22 Mal
- Kontaktdaten:
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
ohne av gehts natürlich noch leichter
-Trend Micro Internet Security 12 (2018)
-Avira Phantom VPN
-Zemana Antimalware
-Sticky Password Premium
- darktwillight
- Foren Gott
- Beiträge: 13420
- Registriert: Mo 5. Aug 2013, 00:51
- Betriebssystem: Win11.Pro/Zorin17+
- Browser: Firefox
- Firewall: Windows +
- Virenscanner: eset
- Hat sich bedankt: 13593 Mal
- Danksagung erhalten: 4804 Mal
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
- Test mit abelssoft.de AntiRansomware
- Emsisoft IS with RanSim Ransomware Simulator
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
- Calimero
- Foren Experte
- Beiträge: 2256
- Registriert: So 27. Mär 2016, 12:38
- Betriebssystem: Windows 10/64
- Browser: Vivaldi
- Firewall: MS + Glasswire
- Virenscanner: Eset NOD32
- Wohnort: Grasberg bei Bremen
- Hat sich bedankt: 2 Mal
- Danksagung erhalten: 22 Mal
- Kontaktdaten:
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
abelssoft. welche signatur haben die? ne eigene haben die doch bestimmt nicht...
-Trend Micro Internet Security 12 (2018)
-Avira Phantom VPN
-Zemana Antimalware
-Sticky Password Premium
- darktwillight
- Foren Gott
- Beiträge: 13420
- Registriert: Mo 5. Aug 2013, 00:51
- Betriebssystem: Win11.Pro/Zorin17+
- Browser: Firefox
- Firewall: Windows +
- Virenscanner: eset
- Hat sich bedankt: 13593 Mal
- Danksagung erhalten: 4804 Mal
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
Das kann ich Dir nicht sagen ob sie überhaupt
eine Signatur haben.
Zitat:
eine Signatur haben.
Zitat:
- Hintergrundwächter für Ihre Daten
Während Erpressungs-Trojaner von vielen Anti-Viren-Programmen nicht rechtzeitig erkannt werden, besitzt AntiRansomware einen Hintergrundwächter, der hochentwickelte Erkennungs-Algorithmen nutzt und Ihr System rund um die Uhr überwacht.
- Das doppelte Netz gegen Ransomware
Wird ein Erpressungs-Trojaner erkannt, startet das Tool ein Notfall-Programm, das die Verschlüsselung verhindert und Ihnen wertvolle Tipps gibt, wie Sie die Malware wieder loswerden.
Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
C@limero, das ist ja mal ein geiles teil http://www.pc-sicherheit.net/post106445.html#p106445 "KnowBe4 RanSim Tool"
hat mich mit mein bisher gedachtes so Super AV ESET erst einmal back to earth gebracht.
Ich bin gerade so etwas von shattered
Zemana AntiLogger hat mir die Installations- .exe zweimal in die Quarantäne gepfeffert, erst ausschalten des Echtzeitschutz konnte die Installation erfolgen.
Dann bei der Installation wurde nichts beanstandet.
ESET AV IS befand sich im Testversuch bei den HIPS im "Automatischen Modus" + danach im " Smart Modus". Beide
Durchgefallen ESET HIPS "Regelbasierter Modus" passiert gar nichts, läuft sich sozusagen tot ESET HIPS im "Interaktiven Modus" erfolgt eine Meldung, jedoch zu spät
Durchgefallen
hat mich mit mein bisher gedachtes so Super AV ESET erst einmal back to earth gebracht.
Ich bin gerade so etwas von shattered
Zemana AntiLogger hat mir die Installations- .exe zweimal in die Quarantäne gepfeffert, erst ausschalten des Echtzeitschutz konnte die Installation erfolgen.
Dann bei der Installation wurde nichts beanstandet.
ESET AV IS befand sich im Testversuch bei den HIPS im "Automatischen Modus" + danach im " Smart Modus". Beide
Durchgefallen ESET HIPS "Regelbasierter Modus" passiert gar nichts, läuft sich sozusagen tot ESET HIPS im "Interaktiven Modus" erfolgt eine Meldung, jedoch zu spät
Durchgefallen
Zuletzt geändert von Gast am Fr 30. Dez 2016, 14:26, insgesamt 1-mal geändert.
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
Teil II:
Folgt als letztes ESET HIPS der " Trainings Modus ". *-
Dieser wurde bestanden.
Allerdings auch für mich etwas zweifelhaft. Weil bei ESET erfolgte keine (Er)Kennung, keine Abfrage, kein Fenster.
Frage ich mich woher bezieht ESET in diesem Fall seine Schutzmechanismen. Insgesamt darf die Frage gestellt werden.
Kann man es wirklich mit einem vergleichbaren RANSOMEWARE Tool vergleichen oder ist es doch nur ein Simulator.
Denn es ist ja schon installiert und ahmt erst dann die Simulation einer RANSOMWARE nach ?!
Im Vergleich mit darktwillights Vergleich mit Emsisoft schneidet ESET hier verheerend schlecht ab.
*- Geändert. falsche Modus Angabe korrigiert
Folgt als letztes ESET HIPS der " Trainings Modus ". *-
Dieser wurde bestanden.
Allerdings auch für mich etwas zweifelhaft. Weil bei ESET erfolgte keine (Er)Kennung, keine Abfrage, kein Fenster.
Frage ich mich woher bezieht ESET in diesem Fall seine Schutzmechanismen. Insgesamt darf die Frage gestellt werden.
Kann man es wirklich mit einem vergleichbaren RANSOMEWARE Tool vergleichen oder ist es doch nur ein Simulator.
Denn es ist ja schon installiert und ahmt erst dann die Simulation einer RANSOMWARE nach ?!
Im Vergleich mit darktwillights Vergleich mit Emsisoft schneidet ESET hier verheerend schlecht ab.
*- Geändert. falsche Modus Angabe korrigiert
- Schulte
- Fortgeschrittener
- Beiträge: 164
- Registriert: Fr 19. Aug 2016, 20:53
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 223 Mal
Re: Ransomware: Bieten AV und Suite den gleichen Schutz?
Es ist nur ein Simulator. Mit echter Ransomware kannst Du es nicht vergleichen.Jekyll Hyde hat geschrieben:Insgesamt darf die Frage gestellt werden.
Kann man es wirklich mit einem vergleichbaren RANSOMEWARE Tool vergleichen oder ist es doch nur ein Simulator.
Das Programm hat eine gültige digitale Signatur und richtet keinerlei Schaden an. Warum sollte eine AV-Lösung hier einschreiten? Das wäre ein FP. Anders als z.B. EICAR handelt es sich nicht um einen Teststandard.
Hier noch KLs Einschätzung: http://whitelisting.kaspersky.com/advis ... e7c4d0fc8c