Hallo!
Ich bin auf der Suche nach einem Testszenario um meinen Ransomwareschutz zu testen.
Gibt es eine Testdatei, die man in einer virtuellen Maschine testen könnte? Ähnlich dem EICAR-Testvirus?
Mein Antivirenschutz hat eine sogenannte Verhaltensüberwachung und müßte bei Verschlüsselung loslegen. Standardverschlüsselungsprogramme wie GPG4win sind dabei aber ausgenommen. Um nicht später im Ernstfall dumm da zu stehen, würd ich gerne den Schutz mal testen.
Vielen Dank für eure Info.

Zitat:

Gibt es eine Testdatei, die man in einer virtuellen Maschine testen könnte? Ähnlich dem EICAR-Testvirus?

Nein da gibt es offiziell zum Glück nichts, das wäre ja auch fatal.

Zitat:

Mein Antivirenschutz hat eine sogenannte Verhaltensüberwachung und müßte bei Verschlüsselung loslegen. Standardverschlüsselungsprogramme wie GPG4win sind dabei aber ausgenommen. Um nicht später im Ernstfall dumm da zu stehen, würd ich gerne den Schutz mal testen.

Welches Virenschutz Programm hast du denn? fast alle Virenschutz Programme haben heutzutage eine Verhaltensüberwachung aber nur Emsisoft Anti Malware bzw Internet Security oder Hitman Pro Alert bieten bis Dato einen zuverlässigen Schutz vor Locky. Solltest du dennoch an eine Locky Datei kommen mit der du dein Virenschutz Programm testen willst, wovon man abraten sollte, solltest du vorher eine USB Festplatte anschliessen ein Backup deiner im Computer verbauten Festplatte machen und dann die USB Festplatte wieder entfernen denn sollte etwas schief gehen und Locky kommt durch und verschlüsselt deine Dateien, dann kanst du das Backup wieder mit dem Boot Medium zurück spielen.

Zitat:

Zitat von purzelbär

Nein da gibt es offiziell zum Glück nichts, das wäre ja auch fatal.

Nachdem EMSI heute bei einer meiner Eigenanwendungen angeschlagen hat (Meldung/Warnung), hätte ich da schon 'ne Idee, mit der man das testen könnte: Mit paar grundlegenden Programmier-Basics könnte man eine Anwendung aufsetzen, die ein paar vorher definierte Test-Dateien "umstrukturiert".

Die Verhaltensprüfung sollte dann eigentlich Alarm schlagen

Und mit zwei..drei weiteren programmiertechnischen Kniffs lässt sich Emsisoft umgehen (bypassen).
Das das kein leeres Geschwätz ist, (zumindest vor ein paar Monaten) habe ich mit einem Video bewiesen.

Du kannst dich alternativ bei kernelmode.info anmelden und (glaube ich) Locky-Samples und TeslaCrypt-Samples herunterladen.

Grüsse - Microwave

Zitat:

Zitat von Microwave

Und mit zwei..drei weiteren programmiertechnischen Kniffs lässt sich Emsisoft umgehen (bypassen).
Das das kein leeres Geschwätz ist, (zumindest vor ein paar Monaten) habe ich mit einem Video bewiesen.

Du kannst dich alternativ bei kernelmode.info anmelden und (glaube ich) Locky-Samples und TeslaCrypt-Samples herunterladen.

Grüsse - Microwave

Du hast den BB gegen Ransomware getestet?

@Schrauber: Was ist BB?

@Microwave: Es ging doch darum, ein Testszenario durchzuführen und nicht den Scanner zu umgehen

Wobei mich aber durchaus interessieren würde, welche Prüfung genau umgangen wurde und wo das Video zu finden ist.

EDIT: Video hab ich gefunden

und BB ist auch geklärt

Zitat:

@Schrauber: Was ist BB?

Ich bin zwar nicht schrauber aber mit BB ist die Verhaltensüberwachung von Emsi gemeint.

Zitat:

@Microwave: Es ging doch darum, ein Testszenario durchzuführen und nicht den Scanner zu umgehen

Geht man nach dem TE, dann geht es ihm darum zu testen ob sein Virenschutz mit Verhaltensüberwachung ihm vor Locky schützen würde:

Zitat:

Mein Antivirenschutz hat eine sogenannte Verhaltensüberwachung und müßte bei Verschlüsselung loslegen.

Also will er wissen ob Locky auch die Verhaltensüberwachung seines Virenschutz Programmes umgehen würde oder nicht.

Zitat:

und BB ist auch geklärt

Jetzt während ich dir geantwortet habe fällt dir das ein

Purzelbär: Ja und nein.

Grundsätzlich sollte die Verhaltensüberwachung bei einer einfach gestrickten Test-Verschlüsselungsanwendung in jedem Falle anschlagen. Wenn das nicht gegeben ist, wäre alles weitergehende eh hinfällig. Das ist auch das, was TE wohl sucht

Zitat:

Ich bin auf der Suche nach einem Testszenario um meinen Ransomwareschutz zu testen.
Gibt es eine Testdatei, die man in einer virtuellen Maschine testen könnte? Ähnlich dem EICAR-Testvirus?
Mein Antivirenschutz hat eine sogenannte Verhaltensüberwachung und müßte bei Verschlüsselung loslegen.

Sicher wird die "böse Seite" ein großes Interesse daran haben, derartige Prüfungen zu umgehen und wenn es hierfür Möglichkeiten gibt, dies auch sicher zeitnah auf den "Markt" bringen. Gab es denn schon Verschlüsselungstrojaner, die die Verhaltensprüfung von Emsi erfolgreich umgehen konnten?

BB ist die Abkürzung für "Behaviour blocker", die englische Bezeichnung für Verhaltensüberwachung-/Analyse.

Zitat:

Gab es denn schon Verschlüsselungstrojaner, die die Verhaltensprüfung von Emsi erfolgreich umgehen konnten?

nein.

Ich habe den Verhaltensblocker auf generische Aktionen überprüft, wie etwa Öffnen eines Threads in einem fremden Prozess mit Vollzugriff.
Ransomware war dort gerade nicht aktuell und deshalb wurde diese nicht eingesetzt.

Grüsse - Microwave