Ransomwareschutz Testszenario
 

Hallo!
Ich bin auf der Suche nach einem Testszenario um meinen Ransomwareschutz zu testen.
Gibt es eine Testdatei, die man in einer virtuellen Maschine testen könnte? Ähnlich dem EICAR-Testvirus?
Mein Antivirenschutz hat eine sogenannte Verhaltensüberwachung und müßte bei Verschlüsselung loslegen. Standardverschlüsselungsprogramme wie GPG4win sind dabei aber ausgenommen. Um nicht später im Ernstfall dumm da zu stehen, würd ich gerne den Schutz mal testen.
Vielen Dank für eure Info.

Nein da gibt es offiziell zum Glück nichts, das wäre ja auch fatal.
Welches Virenschutz Programm hast du denn? fast alle Virenschutz Programme haben heutzutage eine Verhaltensüberwachung aber nur Emsisoft Anti Malware bzw Internet Security oder Hitman Pro Alert bieten bis Dato einen zuverlässigen Schutz vor Locky. Solltest du dennoch an eine Locky Datei kommen mit der du dein Virenschutz Programm testen willst, wovon man abraten sollte, solltest du vorher eine USB Festplatte anschliessen ein Backup deiner im Computer verbauten Festplatte machen und dann die USB Festplatte wieder entfernen denn sollte etwas schief gehen und Locky kommt durch und verschlüsselt deine Dateien, dann kanst du das Backup wieder mit dem Boot Medium zurück spielen.

Nachdem EMSI heute bei einer meiner Eigenanwendungen angeschlagen hat (Meldung/Warnung), hätte ich da schon 'ne Idee, mit der man das testen könnte: Mit paar grundlegenden Programmier-Basics könnte man eine Anwendung aufsetzen, die ein paar vorher definierte Test-Dateien "umstrukturiert".

Die Verhaltensprüfung sollte dann eigentlich Alarm schlagen :)

Und mit zwei..drei weiteren programmiertechnischen Kniffs lässt sich Emsisoft umgehen (bypassen). :kaffee:
Das das kein leeres Geschwätz ist, (zumindest vor ein paar Monaten) habe ich mit einem Video bewiesen.

Du kannst dich alternativ bei kernelmode.info anmelden und (glaube ich) Locky-Samples und TeslaCrypt-Samples herunterladen.

Grüsse - Microwave

Du hast den BB gegen Ransomware getestet?

@Schrauber: Was ist BB?

@Microwave: Es ging doch darum, ein Testszenario durchzuführen und nicht den Scanner zu umgehen :)

Wobei mich aber durchaus interessieren würde, welche Prüfung genau umgangen wurde und wo das Video zu finden ist.

EDIT: Video hab ich gefunden ;)

und BB ist auch geklärt :D

Ich bin zwar nicht schrauber aber mit BB ist die Verhaltensüberwachung von Emsi gemeint.
Geht man nach dem TE, dann geht es ihm darum zu testen ob sein Virenschutz mit Verhaltensüberwachung ihm vor Locky schützen würde:
Also will er wissen ob Locky auch die Verhaltensüberwachung seines Virenschutz Programmes umgehen würde oder nicht.
Jetzt während ich dir geantwortet habe fällt dir das ein:wtf::twak::zunge:

Purzelbär: Ja und nein.

Grundsätzlich sollte die Verhaltensüberwachung bei einer einfach gestrickten Test-Verschlüsselungsanwendung in jedem Falle anschlagen. Wenn das nicht gegeben ist, wäre alles weitergehende eh hinfällig. Das ist auch das, was TE wohl sucht ;)

Sicher wird die "böse Seite" ein großes Interesse daran haben, derartige Prüfungen zu umgehen und wenn es hierfür Möglichkeiten gibt, dies auch sicher zeitnah auf den "Markt" bringen. Gab es denn schon Verschlüsselungstrojaner, die die Verhaltensprüfung von Emsi erfolgreich umgehen konnten?

BB ist die Abkürzung für "Behaviour blocker", die englische Bezeichnung für Verhaltensüberwachung-/Analyse.

nein.

Ich habe den Verhaltensblocker auf generische Aktionen überprüft, wie etwa Öffnen eines Threads in einem fremden Prozess mit Vollzugriff.
Ransomware war dort gerade nicht aktuell und deshalb wurde diese nicht eingesetzt.

Grüsse - Microwave