Category Archives: Malware

MSITC FFRI Yarai vs. Ransomware samples

 

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

 

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

 

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

 

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line

FFRI yarai: Next-Generation Endpoint Protection mit fünf Engines und Verhaltenserkennung

Ich bin vor kurzem auf eine weitere AV-Lösung aufmerksam geworden, die sich deutlich von dem unterscheidet, was heutzutage unter dem Label “Next-Generation” angeboten wird. Die Rede ist von FFRI yarai, einer Software, die aus Japan stammt. Da man zu yarai kaum Tests oder Reviews (und schon gar nicht auf englisch!) findet, bin ich neugierig geworden. Zunächst war ich ehrlich gesagt etwas skeptisch, ob das Produkt denn tatsächlich so effektiv funktionieren würde, wie es vom Hersteller vermarktet wird – und ja, diese Frage kann ich bereits an dieser Stelle mit einem klaren “es funktioniert hervorragend” beantworten. In Japan gehört FFRI yarai zu den führenden Anbietern von Next-Generation-Lösungen im Endpoint Protection-Bereich und hat auch schon einige bemerkenswerte Auszeichnungen erhalten. Ich erspare mir an dieser Stelle die Aufzählung, eine detaillierte Auflistung sowie Whitepaper findet man auf der Website von FFRI. FFRI yarai gibt es als Enterprise-Version mit zentraler Management-Konsole, die on-premise oder in der Cloud betrieben werden kann, und als Version für den SOHO-Bereich.

image

Was FFRI yarai aus meiner Sicht interessant macht, ist die Tatsache, dass diese Next-Generation-Lösung vollständig signaturenlos arbeitet und dafür fünf unterschiedliche Engines zur Erkennung von Malware oder Exploits verwendet, die alle verhaltensbasiert arbeiten. Da gibt es zum einen die sog. ZDP Engine, die das Ausnutzen von Schwachstellen in Software auf der Applikationsebene verhindern soll. Darüber hinaus gibt es eine Sandbox, die ein virtuelles Windows nachbildet, ein HIPS, statische Analyse von Dateien sowie natürlich machine learning. Die Kombination dieser fünf Methoden ermöglicht precognitive defense, d.h. Bedrohungen werden bereits vor Ausführung erkannt und geblockt.

Nachdem ich FFRI kontaktiert hatte, bin ich nun im Besitzer einer Evaluationsversion von yarai, die 30 Tage lang läuft. Natürlich ist die Software auch in englisch verfügbar, sonst hätte ich mir mit japanisch etwas schwer getan…Meine bisherigen Erfahrungen möchte ich in einem gesonderten Produktreview detaillierter zu Papier bringen, deshalb berichte ich an dieser Stelle nur kurz über das, was ich bislang bereits testen konnte:

  • Aktuelle Ransomware-Samples werden bereits von der Static Analysis Engine erkannt. Die Erkennung geht sehr flott vonstatten und die CPU-Auslastung bewegt sich dabei in einem normalen Rahmen. Die Ressourcenauslastung ist bei traditioneller AV-Software deutlich höher.
  • Yarai funktioniert auch offline problemlos. Es ist keine Internet-Verbindung notwendig, um beispielsweise Samples in eine Cloud hochzuladen – die komplette Anwendungslogik ist im Agent auf dem Endgerät untergebracht
  • Aktuell teste ich noch verschiedene 0-day samples, fileless malware, ransomware sowie mein eigenes MSITC sample set, das hauptsächlich aus Backdoors besteht, die ich mit diversen Frameworks erzeugt habe

Natürlich ist es für ein vollständiges Fazit noch zu früh, aber was ich bislang gesehen habe, ist sehr vielversprechend.

image

Ordinypt: Effektiver Ransomware-Schutz durch SparkCognition DeepArmor

For our international audience: you might want to use deepl for translation.

Einführung

Im Dezember 2016 machte eine Ransomware namens Goldeneye insbesondere deshalb Schlagzeilen, weil diese sich als vorgebliche Bewerbung tarnte und primär Personalabteilungen von deutschen Unternehmen im Visier hatte. Im November 2017 ist nun etwas ähnliches zu beobachten: Wieder geht es um Ransomware, die sich ebenfalls als Anhang hinter einer Bewerbung verbirgt.

An dieser Stelle möchte ich nicht näher auf die Details eingehen, da diese bereits im Blog von G-Data ausreichend beschrieben sind. Mittlerweile hat sich übrigens herausgestellt, dass man sich die Zahlung des Lösegeldes sparen kann, denn aktuelle Erkenntnisse deuten darauf hin, dass Odinypt keine Ransomware, sondern ein Wiper ist. Ein Wiper verschlüsselt keine Daten, sondern überschreibt diese so, dass eine Wiederherstellung in der Regel nicht mehr möglich ist, es sei denn, man kann diese aus einem Backup restoren, aber das ist ein anderes Thema.

Erkennung von Ordinypt durch signaturbasierte Virenscanner und SparkCognition DeepArmor

Dass Ordinypt mittlerweile von einer Mehrheit der bei VirusTotal zum Einsatz kommenden Scan Engines erkannt wird, dürfte nicht weiter verwunderlich sein. Dies gilt jedoch nur für das aktuell bekannte Sample; die spannende Frage lautet deshalb, wie sich signaturbasierte Virenscanner bei der Erkennung von neuen Varianten oder Mutationen von Ordinypt schlagen und wie SparkCognition DeepArmor als signaturenlose Next-Generation-Lösung für den Malwareschutz damit umgeht.

image

Mutierte Ordinypt-Ransomware

Um diese Frage beantworten zu können, habe ich eine mutierte Variante von Ordinypt mit Hilfe von VMProtect erstellt. Ich habe bewusst VMProtect für diesen Test ausgewählt, weil es als harte Nuss unter Crackern gilt. VMProtect dient normalerweise dazu, kommerzielle Software vor dem Knacken zu schützen, es lässt sich aber auch prima dazu verwenden, ausführbare Dateien so zu verändern, dass signaturbasierte Virenscanner Schadcode nicht mehr erkennen können. Dazu kommen sehr fortschrittliche Techniken zur Verschleierung von Programmcode zum Einsatz; für die Erstellung des mutierten Ordinypt-Samples habe ich den Ultra Protection Mode verwendet, der nicht nur den Programmcode modifiziert, sondern das geschützte Programm außerdem auch noch in einer eigenen virtuellen Umgebung ausführt:

image

Das Ergebnis ist eine ausführbare Datei, die für signaturbasierte Virenscanner nicht mehr erkennbar ist. Um das zu verifizieren, habe ich das mutierte Sample mit Kaspersky Free gescannt und auf nodistribute.com hochgeladen – die Ergebnisse sprechen für sich. Während das Original-Sample noch erkannt wird, sieht es bei der neuen Variante anders aus:

image

image

image

Wirkungsvoller Schutz vor Malware und Ransomware durch SparkCognition DeepArmor

Es ist aus meiner Sicht leicht erkennbar, dass signaturbasierte Lösungen hier keinen wirkungsvollen Schutz mehr bieten können. Hier sind schlagkräftigere Lösungen gefragt, in diesem Fall ist es DeepArmor von SparkCognition. DeepArmor arbeitet vollständig ohne Signaturen und basiert auf machine learning und Künstlicher Intelligenz (AI), um auch unbekannte und neue Bedrohungen sicher und effizient stoppen zu können. Die folgenden Screenshots sprechen für sich:

image

Das mutierte Sample wird problemlos erkannt, und das sogar noch mit einer Wahrscheinlichkeit von über 99%!

image

image

Fazit

Die Zeit der primär signaturbasierten AV-Lösungen (“Legacy AV”) ist meines Erachtens vorbei. Experten sprechen mittlerweile von ungefähr 500.000 neuen Malware-Samples pro Tag, Tendenz weiterhin steigend, deshalb ist der Schutz von Assets in Unternehmen jeglicher Größe ein Thema, das immer mehr an Bedeutung gewinnt. Endgeräte sind der “weak point” und benötigen deshalb den bestmöglichen Schutz. SparkCognition DeepArmor als Next-Generation-AV-Lösung ist eine leichtgewichtige Lösung für den Einsatz im Enterprise- und SOHO-Bereich, die auch vor neuen und unbekannten Bedrohungen (0-day) wirkungsvoll und äußerst effizient schützt. Sie möchten DeepArmor evaluieren und sich selbst von der Leistungsfähigkeit von DeepArmor überzeugen? Senden Sie eine Mail an info AT ms-it-consulting.biz, wir beraten Sie gerne.

SparkCognition DeepArmor vs. Trojaner Chifrax.a (Erkennungsrate bei VT: 2/64!)

Ich bin auf der Suche nach neuen Malware Samples über zwei Seiten gestolpert, die mit Trojanern nur so gespickt waren. Natürlich war ich gespannt, ob die Samples bereits bekannt oder eher als 0-day samples einzustufen waren:

image

image

Ein erster Check mit Sigcheck ergab, dass es größtenteils bereits bekannte Samples waren:

c:\!malware\ransomware\testmyav\148.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    54/64
     VT link:    https://www.virustotal.com/file/85229484decfcc5617af77367c12ba62e8653b9fd5cf076b7e72473aa6a457e3/analysis/
c:\!malware\ransomware\testmyav\cmd.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\DhlServer.exe:
     Verified:    Unsigned
     Link date:    02:54 17.08.2017
     Publisher:    n/a
     Company:    n/a
     Description:    LightGame Microsoft ???????
     Product:    LightGame ????
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    48/64
     VT link:    https://www.virustotal.com/file/c495ce656589abb406a4d1506141487f467b014eee4dc79eb99587ab39410232/analysis/
c:\!malware\ransomware\testmyav\hfs2.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\las.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\lasss.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb32w.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb4.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    47/64
     VT link:    https://www.virustotal.com/file/942eecf3356f9c016e99c60cb5bb1d5f82f212d30e82be1ca555300b261bde55/analysis/
c:\!malware\ransomware\testmyav\ppx.exe:
     Verified:    Unsigned
     Link date:    15:38 30.07.2017
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\serv.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a

c:\!malware\ransomware\testmyav\start.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xm.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xz.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/64
     VT link:    https://www.virustotal.com/file/fdf6d666f652750944097bbc884b06a0cc5ef9da85ccb2a42eaf99e9019b7872/analysis/
c:\!malware\ransomware\testmyav\xz32.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/65
     VT link:    https://www.virustotal.com/file/153383b05a484845b3eb39915098fa6c8d68fcb639ade54215cda7fcbdeda14a/analysis/

Nachdem also die Mehrheit der Samples als Trojaner erkannt wurde, war ich durchaus etwas verwundert, dass es auch .exe-Dateien gab, die nicht als Malware eingestuft wurden. Ein weiterer Test mit DeepArmor und einer Datei namens start.exe förderte schnell erstaunliche Ergebnisse ans Tageslicht, denn DeepArmor stufte dieses File mit einer Wahrscheinlichkeit von 98,30% als malicious ein und verschob es in die Quarantäne:

image

Der Gegencheck bei VirusTotal ergab, dass die Erkennungsrate mit 2/64(!) für dieses Sample (Trojaner Chifrax.A) erschreckend niedrig war:

image

Um zu verifizieren, dass es kein false positive war, habe ich das Sample zur weiteren Analyse in eine Sandbox hochgeladen, und siehe da: Wäre der Inhalt des SFX-Archivs extrahiert und automatisch gestartet worden, dann wäre ein ziemlicher Scherbenhaufen auf dem Endgerät die Folge gewesen:

image

Fazit: Malware in SFX-Archiven zu verstecken, ist schon seit einiger Zeit in Mode. Wie dieser Test deutlich zeigt, gelingt es Cyberkriminellen schon mit relativ geringem Aufwand, ihre Malware vor der Entdeckung durch konventionelle AV-Software zu verbergen. Mit etwas Glück gibt es eine Signatur, die zumindest bekannte Samples erkennt, aber sobald diese modifiziert werden, ist mit der statischen Erkennung Schluss.

Moderner Malwareschutz der nächsten Generation, wie ihn DeepArmor von SparkCognition bietet, funktioniert ohne Signaturen und verwendet dafür Methoden aus dem Bereich Künstliche Intelligenz (AI) sowie mathematische Modelle, um auch unbekannte Malware erkennen zu können. DeepArmor hatte dieses Sample noch nie zuvor gesehen und es trotzdem mit einer Wahrscheinlichkeit von über 98% als schädlich klassifiziert, was aus meiner Sicht als hervorragende Leistung einzustufen ist.

SparkCognition DeepArmor vs. Ransomware Mega V1

Es vergeht ja mittlerweile kaum ein Tag, an dem nicht neue Ransomware-Samples das Licht der Welt erblicken. Heute habe ich einen kurzen Test mit DeepArmor und einem Sample der Ransomware Mega V1 durchgeführt. Ob es sich um ein 0-day sample handelt oder nicht, kann ich momentan nicht sagen – wenn man sich die derzeitigen Erkennungsraten auf VirusTotal zu diesem Sample anschaut, dann spricht jedoch alles ganz stark dafür:

image

Wie man gut erkennen kann, wurde das Sample heute Mittag um 13:43h UTC hochgeladen. Einige Stunden später (12.07.17 22:16 MEST) wird dieses Sample gerade einmal von 7 von 63(!) Scan Engines erkannt, die signaturbasiert arbeiten. Und so geht SparkCognition DeepArmor mit dem Mega V1 Ransomware Sample um:

image

image

Um es zusammenzufassen: Nach dem Download und Entpacken des Samples hat DeepArmor nach dem Real-Time File Monitoring (überwacht u.a. neu angelegte Dateien) die Ransomware mit einer Wahrscheinlichkeit von 97,31% erkannt und sie sofort in die Quarantäne verschoben. Vergleichen Sie selbst die Scanergebnisse der traditionellen Virenscanner mit dem, was DeepArmor als leistungsfähige Anti-Malware-Lösung der nächsten Generation bietet, die kognitive Algorithmen und machine learning zur Erkennung von Malware und Ransomware einsetzt.

SparkCognition DeepArmor vs. 50 current ransomware samples

Wer tatsächlich noch der Meinung ist, dass signaturbasierte Scanner ausreichend sind, um aktuelle Bedrohungen erkennen und abwehren zu können, den möchte ich mit diesem Test eines besseren belehren. Um die Leistungsfähigkeit von DeepArmor unter Beweis zu stellen, habe ich 50 aktuelle Ransomware-Samples gegen DeepArmor getestet, und das Ergebnis dürfte für sich sprechen: Alle Samples wurden erkannt und geblockt bzw. in die Quarantäne verschoben, was einer Erkennungsrate von 100% entspricht. Vergleichen Sie dazu auch die Erkennungsrate der Scan Engines, die bei VirusTotal zum Einsatz kommen, mit der von DeepArmor – im Video ist deutlich zu erkennen, dass kein einziger der 62(!) zum Einsatz kommenden Virenscanner alle Ransomware-Samples erkannt hat!

Was das in der Praxis bedeutet, kann sich nun jeder selbst ausmalen. Fakt ist – und diese Meinung vertrete ich nach wie vor –, dass signaturbasierte Virenscanner für mich zu einer aussterbenden Spezies gehören. Die Zukunft gehört ganz klar Next Generation-Lösungen wie SparkCognition DeepArmor, die auf machine learning und kognitive Algorithmen setzen. Anders kann man der Flut an Malware nicht mehr Herr werden, denn unterschiedliche Quellen beziffern die Anzahl der täglich neu erscheinenden Malware-Samples auf eine Zahl zwischen 300.000 und 800.000(!), Tendenz steigend – hier sind Signaturen schlicht und ergreifend wirkungslos.

Selbstverständlich wird es wahrscheinlich niemals einen 100%-Schutz vor Malware und Ransomware geben, aber mit Hilfe von moderner AV-Software wie DeepArmor ist es zumindest möglich, den Schutz von Endgeräten drastisch zu verbessern. Nun genug der vielen Worte: Schauen Sie sich das Video an und bilden sich selbst ein Urteil:

Für Fragen verwenden Sie bitte das Kontaktformular auf www.securedsector.com oder senden mir eine Mail unter info AT msitc.eu.

 

Welche traditionelle AV-Software ist heutzutage noch empfehlenswert? Keine!

Zugegebenermaßen, die Headline klingt etwas reißerisch. Soll sie aber auch. Nach der WannaCry-Kampagne, von der wohl jeder durch zahlreiche Berichte in Funk und Fernsehen Mitte Mai 2017 gehört haben dürfte, wurde ich nach Empfehlungen für ein “sicheres” AV-Programm gefragt, das aber natürlich nach Möglichkeit auch nichts kosten sollte. Zum letzteren Thema möchte ich nur folgendes sagen: Wer bereits am Virenschutz sparen möchte, der muss auch damit leben, dass sein Monitor als Reklametafel verwendet wird – wer freie Versionen von bekannter AV-Software wie beispielsweise Avast oder Avira verwendet, wird wissen, was ich meine.

Das soll jetzt aber nicht das Thema sein. Ich kann tatsächlich niemand guten Gewissens einen Malwareschutz empfehlen, der das erste WannaCry-Sample am Tag des Ausbruchs (12.05.17) auch nach mehreren Stunden(!) in der Umlaufbahn nicht erkannt hat. Dies trifft gemäß folgendem Screenshot (Quelle: http://blog.fefe.de/?mon=201705) dann wohl auf alle Virenscanner zu, die bei VirusTotal zum Einsatz kommen, und das sind immerhin an die 60(!) Scan Engines. Da darunter auch Virenscanner sind, die nur ausführbare Dateien scannen, verringer sich die Anzahl auf 56:

Jetzt wird natürlich der ein oder andere zunächst entrüstet aufschreien und darauf hinweisen, dass bei VirusTotal üblicherweise die Kommandozeilenscanner der jeweiligen Produkte zum Einsatz kommen und deshalb nur rein signaturbasiert gescannt wird. Dieses Argument ist natürlich richtig, aber dem halte ich entgegen, dass primär signaturbasierte Scanner sowieso ein Relikt aus der Vergangenheit sind und auch ein Kommandozeilenscanner in der Regel cloudbasiert scannen kann, d.h. Hashwerte, die über die jeweiligen Clouds der einzelnen Hersteller aktualisiert und verteilt werden, kommen üblicherweise schneller auf dem Endpoint an als Signaturupdates.

Oder lag es daran, dass das Wochenende vor der Türe stand und auch Malwareanalysten gerne  Feierabend machen möchten? Das sei ihnen auf jeden Fall gegönnt, doch dann muss man sich auch die Frage stellen, wie wirkungsvoll der Schutz durch Antiviren-Software ist, die keine zeitnahen Updates via Cloud oder was auch immer (z.B. Signaturen) erhält. Vergleichen Sie am besten selbst einmal die vollmundigen Werbeaussagen von der “intelligenten Cloud”, die mittels “maschinenbasierten Lernen” unbekannte Bedrohungen in Echtzeit sofort und zuverlässig abwehren kann mit der harten Realität – aus meiner Sicht klafft da eine gewaltige Lücke.

Wie das mit einer modernen Next-Generation-Lösung wie Cylance aussehen kann, zeigt dieser Blogartikel von Cylance zum Thema WannaCry.  Der Vollständigkeit halber möchte ich erwähnen, dass ich aus zuverlässiger Quelle weiß, dass auch eine ältere Version von CylancePROTECT WannaCrypt problemlos entdeckt und gestoppt hätte:

CylancePROTECT and WannaCry

Über DeepArmor von SparkCognition hatte ich bereits berichtet; auch diese Next-Gen AV-Lösung hat WannaCry erkannt und gestoppt, ohne vorher jemals das Sample gesehen zu haben:

Ich möchte es an dieser Stelle jedem selbst überlassen, sich Gedanken darüber zu machen, wie die Zukunft im AV-Bereich aussehen wird – für mich ist es mittlerweile glasklar, und das manifestiert sich auch in der Überschrift.