最新病毒库日期:
  • WannaCry勒索软件防御效果测试报告
2017-05-15 16:47 来源:未知
【文章摘要】WannaCry的勒索软件肆虐全球,为了检测江民专网安全防护系统对于此勒索软件的防御效果,特进行了此针对性测试。

测试背景

近日,一款名为”WannaCry”的勒索软件在全球范围内广泛传播,因其广泛的传播性和极强的破坏性受到很大的关注。江民科技也在第一时间对该勒索软件进行了积极的响应,为了检测江民专网安全防护系统对于此勒索软件的防御效果,特进行了此针对性测试。

测试所需要的软硬件资源

l 硬件资源
1. PC机;
l 软件资源
1. Windows操作系统软件(此次采用的是Win10 + Win7的系统组合);
2. 虚拟机软件VMware WorkStation;
3. 江民专网安全防护系统;
4. “WannaCry”勒索软件样本(MD5:DB349B97C37D22F5EA1D1841E3C89EB4)。

测试环境的搭建与验证

鉴于“WannaCry”勒索软件广泛的传播性和极强的破坏性,本次测试采用利用VMware搭建专网的方式进行测试。其中VMware中的测试系统有两个,一个用于运行勒索软件样本,并且感染与这套系统连接的其它系统,该系统在本文中称为“攻击机”;另一个系统用于测试勒索软件在传播过程中对其他主机的感染情况,该系统在本文中称为“受体机”。
该测试系统搭建完成之后,网络连通性如下:“攻击机”和“受体机”之间网络互通,但主机和“攻击机”、“受体机”的网络均不互通。
本次测试中宿主机采用的是Win10系统,虚拟机系统采用的是Win7 旗舰版 SP1 操作系统,以下为整个测试环境的搭建和验证过程。
1. VMWare WorkStation虚拟机软件的安装和Win7虚拟机操作系统的安装过程
此部分较为简单,略。
2. “攻击机”和“受体机”的网络设置过程
虚拟采用LAN区段的方式设置网络
 
虚拟机网卡LAN区段设置
 
设置好LAN区段名称之后,其他系统在设置时直接选择设置好的“WannaCry_Test”区段即可。
虚拟机内的网络设置情况
 
“攻击机”网络地址设置
 
 
“受体机”网络地址设置
3. “攻击机”、“受体机”及宿主机之间的网络连通验证

“攻击机”网络连接情况 
 
“受体机”网络连接情况 
 
“宿主机”网络连接情况
测试过程
测试过程分别在Win7 SP1 X86和Win7 SP1 X64环境下进行。
1. X86环境测试1:“攻击机” + “未安装江民专网安全防护系统受体机”
 运行勒索软件之前:
 
“攻击机”
 
“受体机”
运行勒索软件之后:
 
“攻击机”
 
“受体机”
2. X86环境测试2:“攻击机” + “装有江民专网安全防护系统的受体机”
运行勒索软件之前:
 
“攻击机” 
 
“受体机”
运行勒索软件之后:
 
“攻击机”

“受体机”-江民专网安全防护系统捕获到勒索软件样本,并拒绝该样本的扫行
进一步确认恶意软件MD5
 
通过MD5验证,江民专网安全防护系统捕获到的恶意软件就是测试所用的勒索软件
测试结论
江民专网安全防护系统在X86系统下对”WannaCry”勒索软件具安全可靠的防御效果,即使主机已经感染该病毒,如果开启江民专网安全防护系统,该病毒也无法运行并传播。