Leserartikel Ransomware-Simulator vs Antivirusprogramme - wer ist so gut wie sein Ruf?

Rickmer

Fleet Admiral
Registriert
Sep. 2009
Beiträge
21.978
Moin,

ich habe gestern den RanSim Ransomware-Simulator von knowbe4 kennengelernt.
Im eigenen Interesse hatte ich ein paar Tests gemacht wo es auch darum ging ob mein File-Server ausreichend geschützt ist und möchte Euch die Ergebnisse nicht vorenthalten.

Kurze Einführung zu RanSim:
Es werden 15 simulierte Ransomware-Angriffe und 1 simulierter Kryptotrojaner-Angriff durchgeführt.

RanSim Tests.png


Wer mitgezählt hat sieht hier 18 Tests. Das liegt daran, das hier zwei legitime Prozesse bei sind: Archiver und Remover. Diese sollten idealerweise nicht an ihrer Arbeit gehindert werden und zählen als 'false positive'.


Testumgebungen:
1) Windows 10 1909 VM mit nichts drauf installiert
2) Windows Server 2019 VM mit nichts drauf installiert
Alle Antivirus-Programme wurden mit Standardeinstellungen genutzt, wie sie installiert wurden.

Getestete Antivirus-Programme:
  • Windows Defender: Immer beliebt da kostenlos mitgeliefert und mittlerweile soll er ziemlich gut sein
  • Malwarebytes Premium: Weil ich bereits eine Lizenz für meinen Gaming-Tower besitze und jetzt wissen wollte ob die ihr Geld wert ist
  • Avast Free Antivirus: beliebt und zumeist gut bewertet
  • AVG Antivirus Free: beliebt und zumeist gut bewertet
  • Avira Free Antivirus: beliebt und zumeist gut bewertet; habe ich früher lange eingesetzt
  • Bitdefender Antivirus Free: beliebt und zumeist gut bewertet; benötigt ein User-Konto
  • Kapersky Security Cloud Free: beliebt und zumeist gut bewertet; benötigt ein User-Konto


Ergebnisse mit Windows 10:

Antivirus ProgrammWindows DefenderMalwarebytes PremiumAvast Free AntivirusAVG Antivirus FreeAvira Free AntivirusBitdefender Antivirus FreeKapersky Security Cloud Free
Malware geblockt1/1616/162/162/1616/1616/1616/16
Fälschlich geblockt0/22/20/20/22/20/20/2
astreine Ergebnisse sind fett hervorgehoben.


Bei einigen - jedoch nicht allen - Antivirus-Programmen musste ich noch Komponenten von RanSim selbst auf die Whitelist packen damit das Programm überhaupt ausgeführt werden konnte.

Hierbei ist Malwarebytes besonders aufgefallen: Das hat die RanSim Installationsdatei, RanSim selbst sowie Komponenten jeweils einzelnd als Malware erkannt. Bei anderen Antivirus-Programmen wurde maximal eine Komponente erkannt die ich dann aus der Quarantäne und auf die Whitelist befördern musste bevor das Programm durchgelaufen ist.

Diese besonders scharfe Erkennung von Malwarebytes hat jedoch auch dazu geführt, das beide 'legitimen' Prozesse fälschlicherweise geblockt wurden.



Ergebnisse mit Windows Server 2019:

Antivirus ProgrammWindows DefenderMalwarebytes PremiumAvast Free AntivirusAVG Antivirus FreeAvira Free AntivirusBitdefender Antivirus FreeKapersky Security Cloud Free
Malware geblockt1/1616/16N/AN/A16/16N/AN/A
Fälschlich geblockt0/22/2N/AN/A2/2N/AN/A

Die meisten Probanden haben direkt am Anfang die Installationsroutine abgebrochen diversen Meldungen die sinngemäß auf 'Windows Server wird nicht unterstützt' hinauslaufen. Diese sind mit N/A gekennzeichnet.
Einzig Malwarebytes und Avira ließen sich fehlerfrei installieren.



  • Windows Defender:
Windows Defender.png
  • Malwarebytes Premium:
Malwarebytes (Premium).png
  • Avast Free Antivirus:
Avast Free Antivirus.png
  • AVG Antivirus Free:
AVG Antivirus Free.png
  • Avira Free Antivirus:
Avira Antivirus Free.png
  • Bitdefender Antivirus Free: beliebt und zumeist gut bewertet; benötigt ein User-Konto
Bitdefender Antivirus Free.png
  • Kapersky Security Cloud Free: beliebt und zumeist gut bewertet; benötigt ein User-Konto
Kaspersky Security Cloud Free.png


Mein Fazit:

Ich werde wohl auf meinen Laptop erstmal Bitdefender oder Kapersky installieren. Auf dem File-Server ist jetzt Avira installiert und wird mitlaufen.
Der Windows Defender alleine bietet leider keinen ausreichenden Schutz.

Malwarebytes Premium scheint insgesamt am aggressivesten gegen Malware vor zu gehen, tendiert dadurch jedoch gelegentlich dazu auch legitime Anwendungen zu blocken. Es wird erstmal bei der einen Lizenz für meinen Gaming-PC bleiben.
 
  • Gefällt mir
Reaktionen: FeelsGoodManJPG, HerrAbisZ, nierewa und 16 andere
So nebenbei.
Hast Du für den Defender auch alles aktiviert was möglich ist? PUP-Erkennung etc. ?

BFF
 
Vielen Dank für den Link zum Tool. Den werde ich mal speichern. Eventuell ist der auch gut, um in der Firma mal was zu testen.
 
Ich war auch schon immer der Meinung das der Defender überbewertet ist und andere AVs besser abschneiden.

Vorallem in der Performance ist der Defender, obwohl der ja voll ins System integriert ist, ein AV der sehr stark das System ausbremst.
Programmstarts, RAR-Dateien entpacken, Ordner mit vielen Dateien öffnen etc. Bei all diesen Sachen bin ich mit Norton viel viel schneller fertig als mit dem Defender.

Und jetzt kommt nich mit dem Totschlagargument: "Ja, aber alle anderen AV machen/haben Sicherheitslücken"
Der Defender macht/hat genauso Sicherheitslücken wie jede Software auf dieser Welt.
 
  • Gefällt mir
Reaktionen: Carrera124
Rickmer schrieb:
Der Windows Defender alleine bietet leider keinen ausreichenden Schutz.

Deine Meinug. Ich geb auf diesen Test rein gar nix. Ich kann gar nicht aufzählen wie viele PC bei mir waren und verseucht waren obwohl Avira und Co installiert waren. Zusätzlich die miese Performance des Systems. Nein Danke. Ich nutze auf 100ern PC seit Win10 nur noch den Defender. In der Schule genauso wie bei Kunden und privat. Und Probleme gab es bisher damit nicht eines. Wer sich sich damit besser fühlt soll sich diesen Mist doch installieren.

Außerdem ist das Tool wohl ein wenig überbewertet wie ich finde. Im Grunde empfinde ich Deinen Test als Werbung für genau diese Programme. Alle anderen Test sagen doch eindeutig das der Defender völlig ausreichend ist. Dazu kommt noch das die meisten sich heute sowieso selber infizieren über Social Hacking. Danke für Deine Mühe. Aber mich hast Du nicht überzeugt.

MfG
 
  • Gefällt mir
Reaktionen: lash20, CMDCake, John Sinclair und 8 andere
BFF schrieb:
Hast Du für den Defender auch alles aktiviert was möglich ist? PUP-Erkennung etc. ?
Ich habe alles auf Standardeinstellungen gehabt bis auf Tamper Protection weil dazu ein popup kam.

Ich habe jetzt nochmal einen Scan gemacht wo ich wirklich alles aktiviert habe was ich finden konnte außer 'controlled folder access' das ich schonmal im Alltag probiert hatte und damit ziemlich schlechte Erfahrungen wegen vielen Falschmeldungen gemacht hatte.

Windows Defender mit fast ALLEM.png
Damit hat der Defender immerhin 2/16 statt 1/16 geblockt. It's something?


Und weil mich das dann gestört hat, habe ich nochmal einen Scan gemacht, bei dem ich 'controlled folder access' scharf geschaltet habe auf das Verzeichnis mit den Testdateien:

Windows Defender mit ALLEM inkl cfa.png

Wie zu erwarten wird jetzt alles geblockt. Wirklich alles. Inklusive allen Prozessen die überhaupt keine Gefahr darstellen. Ein Spiel will ein Savegame oder eine Config-Datei im Standard-Pfad für Dokumente ablegen? Keine Chance, eiskalt weggeblockt. Und so weiter. Das Feature ist gut gemeint, aber würde mich im Alltag in den Wahnsinn treiben.


@SV3N Wie sieht's mit einer Erwähnung auf der Frontpage aus?

Liebster Forist schrieb:
Vorallem in der Performance ist der Defender, obwohl der ja voll ins System integriert ist, ein AV der sehr stark das System ausbremst.
cyberpirate schrieb:
Ich kann gar nicht aufzählen wie viele PC bei mir waren und verseucht waren obwohl Avira und Co installiert waren. Zusätzlich die miese Performance des Systems.
Zwei Poster, zwei komplett gegenseitige Meinungen.

3-2-1 Fight!


cyberpirate schrieb:
Außerdem ist das Tool wohl ein wenig überbewertet wie ich finde. Im Grunde empfinde ich Deinen Test als Werbung für genau diese Programme. Alle anderen Test sagen doch eindeutig das der Defender völlig ausreichend ist.
Überbewertet, oder einfach nur besser als alle anderen Tests?

Ich habe davon keine programmiert und mich auch nicht im Detail mit denen beschäftigt.
Aber wenn mir das Programm sagt das eine Variante der Thor Ransomware - welche ja immerhin von 2016 und damit nicht grade neu ist - nicht erkannt wird, dann macht das schon stutzig.


cyberpirate schrieb:
Dazu kommt noch das die meisten sich heute sowieso selber infizieren über Social Hacking.
Technikanalphabeten findest du in jeder mittelgroßen Firma im Dutzend billiger. Auch dagegen sollte geschützt werden, weil egal wie viel du die schulst wird irgendwem irgendwann ein Fehler unterlaufen.
 
  • Gefällt mir
Reaktionen: DFFVB
Rickmer schrieb:
Überbewertet, oder einfach nur besser als alle anderen Tests?

Ich habe davon keine programmiert und mich auch nicht im Detail mit denen beschäftigt.
Aber wenn mir das Programm sagt das eine Variante der Thor Ransomware - welche ja immerhin von 2016 und damit nicht grade neu ist - nicht erkannt wird, dann macht das schon stutzig.

Ich hatte letztes Jahr zb einen Fall wo ein Kunde sein PC trotz Kasperksy komplett verschlüsselt wurde mit einem Trojaner der auch schon einige Zeit alt war. Im Grunde gibt es eben keinen 100% Schutz. Warum also verrückt machen? oder sich sein System mit solchen Progs versauen? Es hilft nur der gesunde Menschenverstand. Dazu noch Backup machen. Zum Glück gibt es fast überall auch noch die 2 Faktor Authentifizierung. Weiterhin eben nicht mit dem System wo ich auf Porno Seiten etc surfe dann auch noch Banking machen usw. Ich mache zb regelmässig Scans mit dem Adware Cleaner. Alles sauber. Regelmäßige IMAGE´s tun ihr übriges.
 
Klar gibt es keinen perfekten Schutz.

Trotzdem fand ich das Thema bzw. den Test interessant genug um ein paar Stunden damit zu verbringen und die Erkenntnisse daraus in Praxis zu bringen.

cyberpirate schrieb:
Weiterhin eben nicht mit dem System wo ich auf Porno Seiten etc surfe dann auch noch Banking machen usw.
Dafür hab ich 'ne VM die sonst für nichts genutzt wird :D

cyberpirate schrieb:
Regelmäßige IMAGE´s tun ihr übriges.
Klaro.

Nichts geht über eine gute Datensicherung.
 
  • Gefällt mir
Reaktionen: cyberpirate
Rickmer schrieb:
Trotzdem fand ich das Thema bzw. den Test interessant genug um ein paar Stunden damit zu verbringen und die Erkenntnisse daraus in Praxis zu bringen.

Ja klar wenn es Dir Spaß macht. Ich bleibe erstmal beim Defender. Ich will mich nicht verrückt machen.
 
  • Gefällt mir
Reaktionen: ChiliSchaf
Ein Simulator-Test halt. Das dabei nix Gescheites herauskommt, ist eigentlich vor der Zusammenfassung schon klar.
Der Simulator wurde dafür schon vor 2 Jahren zerpflückt.

Wichtig ist dabei zu beachten: Der Simulator erstellt seine eigenen Testdateien und führt dann Verschlüsselungsaktivitäten für diese Dateien durch. Diese Art von Aktivität wird in vielen Sicherheitsprodukten nicht als bösartig eingestuft, da die App die Verschlüsselung für die von ihr erstellten Dateien durchführt.

Ransomware-Simulatoren - Eine detaillierte Analyse

https://forum.eset.com/topic/10792-ransomware-simulators-a-detailed-analysis/

https://forum.eset.com/topic/16226-ransomware-simulator/?tab=comments#comment-80031

Rickmer schrieb:
Der Windows Defender alleine bietet leider keinen ausreichenden Schutz.
Die Aussage läßt sich so ja gar nicht halten, wenn nach deinem 3. "Simulator"-Durchlauf der Defender alles richtig macht.
 
  • Gefällt mir
Reaktionen: BeBur, CMDCake, Demiales und 2 andere
Sepp Depp schrieb:
Das schau ich mir mal näher an, danke.

Sepp Depp schrieb:
Die Aussage läßt sich so ja gar nicht halten, wenn nach deinem 3. "Simulator"-Durchlauf der Defender alles richtig macht.
Den Beitrag hast du komplett durchgelesen, oder?

Die vollständige Blockade vom Dateizugriff durch jegliches Programm - egal welches Programm - ist nicht alltagstauglich.
 
  • Gefällt mir
Reaktionen: CMDCake
Wer viel misst, misst viel Mist.

Genaugenommen sind da 16/16 Fehlalarme, da - wie auch im verlinkten Beitrag von vor zwei Jahren geschrieben ist - nichts bösartiges durchgeführt wird von dem sinnlosen Programm.

Aber hey, den Schlangenölverkäufern wird's gefallen.
 
  • Gefällt mir
Reaktionen: Amischos, BeBur, CMDCake und 4 andere
Es ist letztendlich den ganz PC-Magazinen und der Leichtgläubigkeit der Menschen zu verdanken, dass der Defender so hoch angepriesen wird.
Der Defender hatte jahrelang schlechte Erkennungsraten, da ist das natürlich eine Schlagzeile wert, wenn AV-Test und Co. nun gute Erkennungsraten präsentieren. Dabei ist das heute bei weitem nicht alles was ein gutes Antivirenprogramm ausmacht. Die Erkennungsraten und Reaktionszeiten unterscheiden sich dank Cloud, Reputation und Co. kaum noch, da sollte man auf den Rest schauen und da sieht es bei den Defender nicht so gut aus.

Schlechte Performance, schlechte Offline-Erkennungrate, viele Fehlalarme, fehlende oder schlecht umgesetzte Schutzfunktionen, komplizierte Bedienung durch fehlende oder versteckte Einstellungen, usw.

Punkte wo der Defender anderen Herstellern nicht das Wasser reichen kann, da muss es noch nicht mal ein kostenpflichtiges Antivirus sein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: AirForce
Dein Beitrag zum Thema ist nun welcher? Defender-Threads gibt es nun reichlich, da kann dann auch ausgiebig über deine Irrtümer diskutiert werden.
 
  • Gefällt mir
Reaktionen: CMDCake, ChiliSchaf und brianmolko
Also erst einmal Danke für den Test, das ist interessant.

Im zweiten Schritt sehen dann natürlich Tests wie von AV Test sehr alt aus, und man muss sich fragen, ob deren Test-Methodik noch aktuell ist (vergleiche Bedrohungslage Viren, Ransomware etc.)

Wenn ich mir das Video von LinusTechTipps anschaue, der ja keinen Hehl aus bezahlten Videos macht, dann kommt die Frage nach "Cui Bono" - wem nutzt es? Ist natürlich auffällig, dass es Unternehmen sind, die auch Pay-Lösungen anbieten. Bzw. will der Anbieter für jeden Test Deine Daten und bietet Trainings an. Ohne Bedrohung, kein Bedarf für Beratung.

Hast du es mal mit der Gratis Version von Malware-Bytes getestet? Wäre interessant....

Insgesamt, rüttelt es auf, und ich werde das Thema im Auge behalten. Man überlegt natürlich auch, ob die manigfaltige Empfehlung diverse AV Programme zu deinstallieren korrekt war...

@OFF-topic
Über den Ton hier muss ich mich schon schwer wundern. Erstmal teilt der TE hier seine Erfahrungen. Dafür gebührt ihm Dank. Unredliche Absichten sind mir nicht ersichtlich. Selbst wenn er kompletten Unsinn schreiben würde, tut er das mit guter Absicht, also wäre im Zweifel Nachsicht angemessen! Was passiert? Es wird Werbung unterstellt. Dann darf man sich nicht wundern, wenn die Foren-Kultur stirbt. Sind komischerweise aber auch immer Leute die meckern, die nicht primäre Adressaten sind...
 
  • Gefällt mir
Reaktionen: FeelsGoodManJPG, nierewa und Vulcanraven
DFFVB schrieb:
Hast du es mal mit der Gratis Version von Malware-Bytes getestet? Wäre interessant....
Die macht nur scan-on-demand, ist also zur Verhinderung einer Infektion komplett nutzlos
 
Hallo zusammen.

Da ich erst kürzlich mein System neu aufgesetzt habe mit 1909 und mir Antivir ersparen wollte, bin auch ich auf dem Defender hängen geblieben, mit Malwarebytes als zweite Meinung.

Aber zu diesem Test hier mal noch eine weitere Meinung, vllt weiß ja jemand, wie die getestet haben.

Klick

Seltsam finde ich halt schon, dass der Defender so toll sein soll, aber hier nichtmal in den Top 10.

Antivir hatte ich jahrelang, ohne wirkliche Probleme. Lustigerweise habe ich einen keygen im Datengrab gefunden, den der Defender sofort geblockt hat, was Antivir nichtmal ne Meldung wert war. False positive?

Ich würde die Diskussion gerne noch etwas weiterführen, sehe ich es doch als Gewinn für alle hier.

Grüße
 
Ein "Test" der als Bildergallerie veröffentlich wird und bei dem die Top 11 ALLES Payware ist (und dann noch der Defender als Alibi angeheftet wurde)?
 
  • Gefällt mir
Reaktionen: CMDCake und Markchen
Zurück
Oben