SparkCognition DeepArmor vs. Hermes/Rapid-Ransomware

Ransomware ist immer noch als permanente Bedrohung präsent. Bekannte Varianten wie GandCrab werden regelmäßig aktualisiert, und auch weniger bekannte Namen können in einem Unternehmen für viel Ärger sorgen. Signaturbasierte Scanner haben nach wie vor Probleme mit der Erkennung von 0-day-Malware oder Ransomware (s. VirusTotal-Screenshot), während SparkCognition DeepArmor mit seiner AI Engine auch diese neue Ransomware problemlos erkennt und wirkungsvoll stoppt.

Hermes-Ransomware wird von 3/68 AV engines erkannt:

image

Erkennung durch AI Engine von DeepArmor Enterprise:

image

Eine ähnlich miserable Erkennungsrate erzielen traditionelle signaturbasierte AV-Scanner bei einem Rapid Ransomware-Sample:

image

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

SparkCognition DeepArmor vs. Ryuk Ransomware

Please find the english version below which was translated utilizing deepl.com.

Ryuk ist der Name einer neuen Ransomware-Kampagne, die primär große Unternehmen im Visier hat. Obwohl diese Ransomware nicht zu den technisch besten und ausgefeiltesten ihrer Art gehört, haben die Hintermänner bislang bereits Einnahmen in Höhe von ungefähr 650.000 USD in Bitcoins erzielt, und es ist anzunehmen, dass es nicht bei diesem Betrag bleiben wird und weitere Unternehmen Opfer dieser hinterhältigen Ransomware-Kampagne werden.

Wer als IT-Verantwortlicher nun glaubt, mit seiner signaturbasierten AV-Lösung vor derartigem Ungemach geschützt zu sein, irrt jedoch gewaltig: Das erste Ryuk-Sample wurde am 21.08.18 um 2333 UTC zu VirusTotal übermittelt, und etwas mehr als zwei Tage später erkennen lediglich 30 von 67 Scan Engines das Ryuk-Sample! Dieses Beispiel zeigt wieder einmal mehr, dass signaturbasierte Legacy AV-Lösungen zum einen nicht mehr zeitgemäß sind und zum anderen nach wie vor problemlos überlistet werden können.

image

Um die Effektivität von SparkCognition DeepArmor als leistungsfähige Next Generation AV-Lösung auf Basis von künstlicher Intelligenz (AI) und Deep Learning unter Beweis zu stellen, wurde das Originalsample mit zwei EXE-Packern (UPX und MPRESS) komprimiert, um ein mutiertes Sample zu erhalten. Die Ergebnisse sind – wie nicht anders zu erwarten – erschreckend, denn die Erkennungsrate für beide neu erzeugten Samples liegt exakt bei 0 von 67 Scan Engines!

image

image

image

Für DeepArmor Enterprise hingegen stellen die Mutationen kein Problem dar, denn beide mutierten Samples werden mit einer Wahrscheinlichkeit von über 99% zuverlässig von der DeepArmor AI Engine erkannt und gestoppt, die vollständig ohne Signaturen funktioniert – kann Ihre derzeitige Endpoint Protection-Lösung das auch?

image

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

—-

Ryuk is the name of a new ransomware campaign that primarily targets large companies. Although this ransomware is not one of the best and most sophisticated of its kind technically, the backers have already earned approximately $650,000 in Bitcoins, and it is likely that it will not stay that way and other companies will fall victim to this sneaky ransomware campaign.

But those responsible for IT who think they are protected against this kind of disaster with their signature-based AV solution are seriously mistaken: The first Ryuk sample was sent on August 21, 18 at 2333 UTC to VirusTotal, and a little more than two days later only 30 of 67 scan engines recognize the Ryuk sample! This example once again shows that signature-based legacy AV solutions are outdated and can still be easily outwitted.

To demonstrate the effectiveness of SparkCognition DeepArmor as a powerful Next Generation AV solution based on Artificial Intelligence (AI) and Deep Learning, the original sample was compressed with two EXE packers (UPX and MPRESS) to obtain a mutated sample. The results are – as expected – frightening, because the recognition rate for both newly created samples is exactly 0 of 67 scan engines!

For DeepArmor Enterprise, however, the mutations are no problem, as both mutated samples are reliably detected and stopped by the DeepArmor AI Engine with a probability of over 99%, which works completely without signatures – can your current Endpoint Protection solution also?

As an official SparkCognition DeepArmor partner, we are happy to help with questions or the evaluation of DeepArmor Enterprise for companies. You can contact us via the contact form or at info AT deeparmor.de. Do not hesitate to contact us, because AI is the future.

Translated with www.DeepL.com/Translator

FFRI yarai: Next-Generation Endpoint Protection mit fünf Engines und Verhaltenserkennung

Ich bin vor kurzem auf eine weitere AV-Lösung aufmerksam geworden, die sich deutlich von dem unterscheidet, was heutzutage unter dem Label “Next-Generation” angeboten wird. Die Rede ist von FFRI yarai, einer Software, die aus Japan stammt. Da man zu yarai kaum Tests oder Reviews (und schon gar nicht auf englisch!) findet, bin ich neugierig geworden. Zunächst war ich ehrlich gesagt etwas skeptisch, ob das Produkt denn tatsächlich so effektiv funktionieren würde, wie es vom Hersteller vermarktet wird – und ja, diese Frage kann ich bereits an dieser Stelle mit einem klaren “es funktioniert hervorragend” beantworten. In Japan gehört FFRI yarai zu den führenden Anbietern von Next-Generation-Lösungen im Endpoint Protection-Bereich und hat auch schon einige bemerkenswerte Auszeichnungen erhalten. Ich erspare mir an dieser Stelle die Aufzählung, eine detaillierte Auflistung sowie Whitepaper findet man auf der Website von FFRI. FFRI yarai gibt es als Enterprise-Version mit zentraler Management-Konsole, die on-premise oder in der Cloud betrieben werden kann, und als Version für den SOHO-Bereich.

image

Was FFRI yarai aus meiner Sicht interessant macht, ist die Tatsache, dass diese Next-Generation-Lösung vollständig signaturenlos arbeitet und dafür fünf unterschiedliche Engines zur Erkennung von Malware oder Exploits verwendet, die alle verhaltensbasiert arbeiten. Da gibt es zum einen die sog. ZDP Engine, die das Ausnutzen von Schwachstellen in Software auf der Applikationsebene verhindern soll. Darüber hinaus gibt es eine Sandbox, die ein virtuelles Windows nachbildet, ein HIPS, statische Analyse von Dateien sowie natürlich machine learning. Die Kombination dieser fünf Methoden ermöglicht precognitive defense, d.h. Bedrohungen werden bereits vor Ausführung erkannt und geblockt.

Nachdem ich FFRI kontaktiert hatte, bin ich nun im Besitzer einer Evaluationsversion von yarai, die 30 Tage lang läuft. Natürlich ist die Software auch in englisch verfügbar, sonst hätte ich mir mit japanisch etwas schwer getan…Meine bisherigen Erfahrungen möchte ich in einem gesonderten Produktreview detaillierter zu Papier bringen, deshalb berichte ich an dieser Stelle nur kurz über das, was ich bislang bereits testen konnte:

  • Aktuelle Ransomware-Samples werden bereits von der Static Analysis Engine erkannt. Die Erkennung geht sehr flott vonstatten und die CPU-Auslastung bewegt sich dabei in einem normalen Rahmen. Die Ressourcenauslastung ist bei traditioneller AV-Software deutlich höher.
  • Yarai funktioniert auch offline problemlos. Es ist keine Internet-Verbindung notwendig, um beispielsweise Samples in eine Cloud hochzuladen – die komplette Anwendungslogik ist im Agent auf dem Endgerät untergebracht
  • Aktuell teste ich noch verschiedene 0-day samples, fileless malware, ransomware sowie mein eigenes MSITC sample set, das hauptsächlich aus Backdoors besteht, die ich mit diversen Frameworks erzeugt habe

Natürlich ist es für ein vollständiges Fazit noch zu früh, aber was ich bislang gesehen habe, ist sehr vielversprechend.

image

Next-Generation AV und machine learning: Marketing-Blabla vs. Realität

Seitdem Cylance als einer der Pioniere im Next-Gen AV-Bereich mit Begriffen wie AI (Artificial Intelligence/Künstliche Intelligenz), machine learning und mathematischen Modellen im Jahr 2014 auf dem Radar auftauchte, haben Mitbewerber aus dem klassischen AV-Software-Umfeld nichts unversucht gelassen, aktuellere Technologien als die von ihnen verwendeten wie Verhaltensanalyse, Heuristik, cloudbasiertes Scannen usw. zunächst als wenig erfolgreich darzustellen. Darauf, wer sich wann wie und in welcher Form geäußert hat oder warum Hersteller A nach eigenen Angaben bedeutend besser ist als der Rest, möchte ich an dieser Stelle nicht näher eingehen. In diesem Beitrag möchte ich vielmehr erläutern, weshalb man fabelhaft klingenden Beschreibungen aus der Feder der Marketingabteilungen immer mit einer gesunden Portion Skepsis begegnen sollte und weshalb es offensichtlich unterschiedliche Formen von machine learning oder deep learning gibt, die sich hinsichtlich ihrer Effizienz doch deutlich voneinander unterscheiden.

Aus meiner Sicht ist es unabdingbar, ein Produkt selbst auf Herz und Nieren zu testen. Ich spreche hierbei nicht von AV-Software für Heimanwender, sondern von Business-Versionen für Unternehmen jeglicher Größe. Da ich mit Produkten wie DeepArmor von SparkCognition vertraut bin und aufgrund regelmäßig durchgeführter eigener Tests die Effektivität von DeepArmor kenne und beurteilen kann, habe ich im Dezember 2017 Tests mit mehreren Business-Lösungen von bekannten Herstellern durchgeführt. Grundlage dafür waren jeweils Testversionen der jeweiligen Produkte sowie Samples von testmyav.com, hybrid-analysis.com sowie aktuelle Malware und Ransomware, die ich über einen malware crawler einsammle.

Meine Testmethodik werde ich ein anderes Mal ausführlicher erläutern, momentan sollte folgende kurze Übersicht ausreichend sein:

  • Alle Samples wurden unter Windows 10 in einer virtuellen Maschine gegen die jeweilige Scan Engine getestet
  • In allen Fällen wurde die mitgelieferte und empfohlene default policy des jeweiligen Herstellers verwendet
  • Malware, die nicht bereits vom On-Access Scanner ausgesondert wurde, habe ich erneut manuell gescannt
  • Bekannte Ransomware-Samples von testmyav.com habe ich mit einem EXE-Packer behandelt, um zu prüfen, wie gut Mutationen von Ransomware erkannt werden  

Ohne lange um den heißen Brei herumreden zu wollen, waren die Ergebnisse sehr durchwachsen. Besonders irritiert hat mich ein Produkt eines amerikanischen Herstellers hinsichtlich der beworbenen Erkennungsmöglichkeiten und den tatsächlich erkannten Samples. Ich muss zugeben, dass sich die Produktbeschreibung wirklich gut anhört: Small footprint des Agents, geringe Systemauslastung, machine learning zur Erkennung von völlig neuer und unbekannter Malware usw. Wenn ein Hersteller mit machine learning oder deep learning wirbt, dann erwarte ich, dass auch relativ simpel manipulierte Malware oder Ransomware problemlos erkannt werden, denn das gibt die Technik tatsächlich her, wenn sie richtig implentiert ist. Erschreckend war aber speziell in diesem einen Fall, dass manipulierte Malware-Samples weder erkannt noch in der Ausführung gestoppt wurden. Mehr noch: der vom Hersteller versprochene Remediation-Mechanismus für verschlüsselte Dateien, die durch nicht erkannte Ransomware entstanden sind, hat bei mir schlicht und ergreifend nicht funktioniert. Einen Fehler in der Konfiguration der Software schließe ich aus, weil ich die vom Hersteller empfohlene default policy verwendet habe. Noch krasser wird das ganze, wenn man sich die Reviews für das Produkt bei Gartner peer review (Registrierung erforderlich) anschaut und die Bewertungen durchliest, denn die basieren meiner Meinung nicht auf selbst durchgeführten Tests. Wer glaubt, dass ein gutes Endpoint Protection-Produkt schon alleine deshalb super ist, weil es drei Tage alte Malware-Samples erkennt, der sollte sich ernsthaft die Frage stellen, ob er auf das richtige Pferd gesetzt hat.

Last but not least möchte ich in diesem Kontext nicht unerwähnt lassen, dass dieses augenscheinlich hervorragende Produkt auf anderen Webseiten ganz anders abgeschnitten hat und bewertet wurde, und zwar im Bereich der negativen Leistung.

Warum schreibe ich das nun alles? Ganz einfach: Verlassen Sie sich niemals auf vollmundiges Marketing-Blabla von Herstellern von AV-Software, sondern testen Sie Produkte im Endpoint Security-Umfeld intensiv und selbst auf Herz und Nieren, bevor sie im Unternehmen eingeführt werden. Gerne berate und unterstütze ich Sie diesbezüglich auch mit meinem Know How.

Kurzvorstellung: Webroot SecureAnywhere, Teil 1

In letzter Zeit bin ich häufiger über Webroot SecureAnywhere gestolpert, und da ich es bislang eher als Vertreter der Kategorie Legacy AV/signaturbasierter AV-Scanner auf dem Radar hatte, habe ich diesem Produkt ehrlich gesagt keine große Bedeutung beigemessen, da mein Schwerpunkt auf signaturenloser Next Generation AV-Software wie SparkCognition DeepArmor liegt. Nachdem ich mich allerdings in das Funktionsprinzip von Webroot SecureAnywhere eingelesen hatte, ist mein Interesse nun doch erwacht, denn Webroot SecureAnywhere (oder abgekürzt WSA) bietet einige interessante Merkmale, die ich so von anderen Anti-Malware-Produkten nicht kenne.

Um mir selbst ein Bild von WSA zu machen, habe ich eine virtuelle Maschine damit bestückt und die große Malwareschatzkiste geöffnet, um zu sehen, wie gut Webroot SecureAnywhere damit umgehen kann.

Einführung

Nun, um der Wahrheit die Ehre zu geben, sind aus meiner Sicht Dinge wie Phishing-Schutz oder ein Webfilter, der vor dem Besuch von infizierten Webseiten schützen soll, kein Alleinstellungsmerkmal mehr und für mich persönlich auch unwichtig. Damit möchte ich diese sicher nicht unwichtigen Funktionen keinesfalls in Abrede stellen, denn der “normale” Anwender ist eben in der Regel nun mal kein IT Security-Experte, der in der Lage ist, diese Art von Bedrohungen im Schlaf zu erkennen. Ich für meinen Teil lege allerdings mehr Wert auf die Erkennung von Malware jeglicher Coleur, um im privaten Bereich und im geschäftlichen Bereich ein Höchstmaß an Endgerätesicherheit zu erzielen. Dazu gehört für mich Ransomware als größter Bedrohungsfaktor, dicht gefolgt von Banking-Trojanern oder sehr gut getarnter Malware, die von konventionellen Virenscannern nicht erkannt und geblockt werden.

Ich erspare mir an dieser Stelle eine vollständige Aufzählung aller Produktmerkmale und Features und verweise stattdessen auf die Übersicht auf der deutschen Webroot-Homepage. Das dort gesagte gilt mehr oder weniger auch für die Homeversion von Webroot SecureAnywhere für Privatkunden.

Was ist Webroot SecureAnywhere und wie unterscheidet es sich von anderen AV-Produkten?

Hier möchte ich direkt auf den Punkt kommen und die wesentlichen Merkmale erwähnen, die WSA aus meiner Sicht ziemlich interessant machen und in denen sich SecureAnywhere von Mitwerberprodukten unterscheidet:

  • Webroot SecureAnywhere kommt ohne Signaturen aus und greift auf einen Mix aus Verhaltensanalyse (Behavior Analysis), aktuellen Bedrohungsdaten in Echtzeit aus der Cloud (Webroot Intelligence Network) sowie machine learning zurück
  • Der SecureAnywhere Agent ist im Vergleich mit anderer AV-Software ein echter Winzling, was sich in der Größe des Agents (nur 750 KB!) und dem geringen Ressourcenverbrauch niederschlägt
  • Für den Fall, dass Ransomware tatsächlich einmal nicht erkannt werden sollte, steht eine Rollback-Funktion zur Verfügung, die verschlüsselte Dateien in den Ursprungszustand versetzen kann (Journaling)

Was WSA sonst noch zu bieten hat, kann hier nachgelesen werden.

Wie schlägt sich Webroot SecureAnywhere im praktischen Einsatz?

Ich möchte darauf hinweisen, dass es sich hier um eine Kurzvorstellung und nicht um einen vollständigen Produkttest handelt. Aus diesem Grund habe ich zunächst die üblichen Verdächtigen getestet, wie beispielsweise die Ransomware-Samples von testmyav.com. Hier hat WSA schon mal ordentliche Ergebnisse abgeliefert, denn alle 50 Ransomware-Samples wurden erkannt und eliminiert. Auch mit mpress modifizierte Samples wurden erkannt und abgeräumt, was insofern erwähnenswert ist, weil signaturbasierte Scanner mit der Erkennung von modifizierten Samples des öfteren Probleme haben.

image

Die Systemauslastung hielt sich während dem Scan der Samples in Grenzen und erreichte zu keinem Zeitpunkt einen Auslastungsgrad zwischen 50-100%, wie es bei anderen Lösungen durchaus vorkommen kann.

image

Damit möchte ich es für heute gut sein lassen, mehr folgt dann in Teil 2 meiner Kurzvorstellung.

Ordinypt: Effektiver Ransomware-Schutz durch SparkCognition DeepArmor

For our international audience: you might want to use deepl for translation.

Einführung

Im Dezember 2016 machte eine Ransomware namens Goldeneye insbesondere deshalb Schlagzeilen, weil diese sich als vorgebliche Bewerbung tarnte und primär Personalabteilungen von deutschen Unternehmen im Visier hatte. Im November 2017 ist nun etwas ähnliches zu beobachten: Wieder geht es um Ransomware, die sich ebenfalls als Anhang hinter einer Bewerbung verbirgt.

An dieser Stelle möchte ich nicht näher auf die Details eingehen, da diese bereits im Blog von G-Data ausreichend beschrieben sind. Mittlerweile hat sich übrigens herausgestellt, dass man sich die Zahlung des Lösegeldes sparen kann, denn aktuelle Erkenntnisse deuten darauf hin, dass Odinypt keine Ransomware, sondern ein Wiper ist. Ein Wiper verschlüsselt keine Daten, sondern überschreibt diese so, dass eine Wiederherstellung in der Regel nicht mehr möglich ist, es sei denn, man kann diese aus einem Backup restoren, aber das ist ein anderes Thema.

Erkennung von Ordinypt durch signaturbasierte Virenscanner und SparkCognition DeepArmor

Dass Ordinypt mittlerweile von einer Mehrheit der bei VirusTotal zum Einsatz kommenden Scan Engines erkannt wird, dürfte nicht weiter verwunderlich sein. Dies gilt jedoch nur für das aktuell bekannte Sample; die spannende Frage lautet deshalb, wie sich signaturbasierte Virenscanner bei der Erkennung von neuen Varianten oder Mutationen von Ordinypt schlagen und wie SparkCognition DeepArmor als signaturenlose Next-Generation-Lösung für den Malwareschutz damit umgeht.

image

Mutierte Ordinypt-Ransomware

Um diese Frage beantworten zu können, habe ich eine mutierte Variante von Ordinypt mit Hilfe von VMProtect erstellt. Ich habe bewusst VMProtect für diesen Test ausgewählt, weil es als harte Nuss unter Crackern gilt. VMProtect dient normalerweise dazu, kommerzielle Software vor dem Knacken zu schützen, es lässt sich aber auch prima dazu verwenden, ausführbare Dateien so zu verändern, dass signaturbasierte Virenscanner Schadcode nicht mehr erkennen können. Dazu kommen sehr fortschrittliche Techniken zur Verschleierung von Programmcode zum Einsatz; für die Erstellung des mutierten Ordinypt-Samples habe ich den Ultra Protection Mode verwendet, der nicht nur den Programmcode modifiziert, sondern das geschützte Programm außerdem auch noch in einer eigenen virtuellen Umgebung ausführt:

image

Das Ergebnis ist eine ausführbare Datei, die für signaturbasierte Virenscanner nicht mehr erkennbar ist. Um das zu verifizieren, habe ich das mutierte Sample mit Kaspersky Free gescannt und auf nodistribute.com hochgeladen – die Ergebnisse sprechen für sich. Während das Original-Sample noch erkannt wird, sieht es bei der neuen Variante anders aus:

image

image

image

Wirkungsvoller Schutz vor Malware und Ransomware durch SparkCognition DeepArmor

Es ist aus meiner Sicht leicht erkennbar, dass signaturbasierte Lösungen hier keinen wirkungsvollen Schutz mehr bieten können. Hier sind schlagkräftigere Lösungen gefragt, in diesem Fall ist es DeepArmor von SparkCognition. DeepArmor arbeitet vollständig ohne Signaturen und basiert auf machine learning und Künstlicher Intelligenz (AI), um auch unbekannte und neue Bedrohungen sicher und effizient stoppen zu können. Die folgenden Screenshots sprechen für sich:

image

Das mutierte Sample wird problemlos erkannt, und das sogar noch mit einer Wahrscheinlichkeit von über 99%!

image

image

Fazit

Die Zeit der primär signaturbasierten AV-Lösungen (“Legacy AV”) ist meines Erachtens vorbei. Experten sprechen mittlerweile von ungefähr 500.000 neuen Malware-Samples pro Tag, Tendenz weiterhin steigend, deshalb ist der Schutz von Assets in Unternehmen jeglicher Größe ein Thema, das immer mehr an Bedeutung gewinnt. Endgeräte sind der “weak point” und benötigen deshalb den bestmöglichen Schutz. SparkCognition DeepArmor als Next-Generation-AV-Lösung ist eine leichtgewichtige Lösung für den Einsatz im Enterprise- und SOHO-Bereich, die auch vor neuen und unbekannten Bedrohungen (0-day) wirkungsvoll und äußerst effizient schützt. Sie möchten DeepArmor evaluieren und sich selbst von der Leistungsfähigkeit von DeepArmor überzeugen? Senden Sie eine Mail an info AT ms-it-consulting.biz, wir beraten Sie gerne.

MSITC SparkCognition DeepArmor Ransomware mutations vs. legacy AV

Es ist in der Tat erschreckend, wie einfach signaturbasierte Virenscanner ausgehebelt werden können. Als weiteres Beispiel dafür demonstriere ich in meinem neuen Video, wie innerhalb weniger Sekunden aktuelle Ransomware dergestalt getarnt bzw. mutiert werden kann, dass die Erkennungsrate von signaturbasierten Scannern ganz schnell von 100% auf 12%(!) sinkt, während DeepArmor als Vertreter der Next-Generation-Fraktion selbst mutierte Samples problemlos als solche erkennt und zuverlässig funktioniert.

SparkCognition DeepArmor vs. Ransomware Mega V1

Es vergeht ja mittlerweile kaum ein Tag, an dem nicht neue Ransomware-Samples das Licht der Welt erblicken. Heute habe ich einen kurzen Test mit DeepArmor und einem Sample der Ransomware Mega V1 durchgeführt. Ob es sich um ein 0-day sample handelt oder nicht, kann ich momentan nicht sagen – wenn man sich die derzeitigen Erkennungsraten auf VirusTotal zu diesem Sample anschaut, dann spricht jedoch alles ganz stark dafür:

image

Wie man gut erkennen kann, wurde das Sample heute Mittag um 13:43h UTC hochgeladen. Einige Stunden später (12.07.17 22:16 MEST) wird dieses Sample gerade einmal von 7 von 63(!) Scan Engines erkannt, die signaturbasiert arbeiten. Und so geht SparkCognition DeepArmor mit dem Mega V1 Ransomware Sample um:

image

image

Um es zusammenzufassen: Nach dem Download und Entpacken des Samples hat DeepArmor nach dem Real-Time File Monitoring (überwacht u.a. neu angelegte Dateien) die Ransomware mit einer Wahrscheinlichkeit von 97,31% erkannt und sie sofort in die Quarantäne verschoben. Vergleichen Sie selbst die Scanergebnisse der traditionellen Virenscanner mit dem, was DeepArmor als leistungsfähige Anti-Malware-Lösung der nächsten Generation bietet, die kognitive Algorithmen und machine learning zur Erkennung von Malware und Ransomware einsetzt.

Weltweiter Ausbruch von Petya-Ransomware: DeepArmor hilft

Warum ist Petya so gefährlich?

Aktuell gibt es eine weltweite Angriffswelle, die auf der Petya-Ransomware basiert. Laut Berichten von Heise und Bleepingcomputer begann der Angriff zunächst in der Ukraine, es gibt aber mittlerweile auch zahlreiche weltweite Meldungen über Petya-Infektionen. Unter anderem wurde der operative Betrieb des Container-Transportgiganten Maersk stark beeinträchtigt und musste in Teilen heruntergefahren werden.

Ebenso wie WannaCry nutzt Petya ungepatchte Sicherheitslücken in Windows. Was die aktuell kursierende Version von Petya so gefährlich macht, ist die Tatsache, dass wichtige Bereiche auf der Festplatte (MFT und MBR) verschlüsselt und mit einem eigenen Bootloader überschrieben werden, was das betroffene Endgerät solange funktionsuntüchtig macht, bis das geforderte Lösegeld bezahlt wird, und selbst dann gibt es keine Garantie dafür, dass man wirklich den passenden Schlüssel zur Entschlüsselung erhält. Das ist im Heimbereich schon schlimm genug, falls das jedoch in einer größeren Organisation passiert, ist das eine echte Katastrophe.

Wie kann man sich vor Petya schützen?

Indem man beispielsweise eine Next Gen AV-Lösung verwendet. Ich hatte schon mehrfach SparkCognition DeepArmor erwähnt, eine Anti-Malware-Lösung der nächsten Generation, die auf machine learning und kognitiven Algorithmen basiert. DeepArmor stellt auch dieses Mal unter Beweis, dass es Petya wirkungsvoll ohne Signaturen stoppen kann, wie man im folgenden Video zweifelsohne erkennen kann:

SparkCognition DeepArmor vs. 50 current ransomware samples

Wer tatsächlich noch der Meinung ist, dass signaturbasierte Scanner ausreichend sind, um aktuelle Bedrohungen erkennen und abwehren zu können, den möchte ich mit diesem Test eines besseren belehren. Um die Leistungsfähigkeit von DeepArmor unter Beweis zu stellen, habe ich 50 aktuelle Ransomware-Samples gegen DeepArmor getestet, und das Ergebnis dürfte für sich sprechen: Alle Samples wurden erkannt und geblockt bzw. in die Quarantäne verschoben, was einer Erkennungsrate von 100% entspricht. Vergleichen Sie dazu auch die Erkennungsrate der Scan Engines, die bei VirusTotal zum Einsatz kommen, mit der von DeepArmor – im Video ist deutlich zu erkennen, dass kein einziger der 62(!) zum Einsatz kommenden Virenscanner alle Ransomware-Samples erkannt hat!

Was das in der Praxis bedeutet, kann sich nun jeder selbst ausmalen. Fakt ist – und diese Meinung vertrete ich nach wie vor –, dass signaturbasierte Virenscanner für mich zu einer aussterbenden Spezies gehören. Die Zukunft gehört ganz klar Next Generation-Lösungen wie SparkCognition DeepArmor, die auf machine learning und kognitive Algorithmen setzen. Anders kann man der Flut an Malware nicht mehr Herr werden, denn unterschiedliche Quellen beziffern die Anzahl der täglich neu erscheinenden Malware-Samples auf eine Zahl zwischen 300.000 und 800.000(!), Tendenz steigend – hier sind Signaturen schlicht und ergreifend wirkungslos.

Selbstverständlich wird es wahrscheinlich niemals einen 100%-Schutz vor Malware und Ransomware geben, aber mit Hilfe von moderner AV-Software wie DeepArmor ist es zumindest möglich, den Schutz von Endgeräten drastisch zu verbessern. Nun genug der vielen Worte: Schauen Sie sich das Video an und bilden sich selbst ein Urteil:

Für Fragen verwenden Sie bitte das Kontaktformular auf www.securedsector.com oder senden mir eine Mail unter info AT msitc.eu.