MSITC FFRI Yarai vs. Ransomware samples

image

www.msitc.eu

www.securedsector.com

FFRI Yarai Ransomware test

You can find more details on FFRI web site. I would like to abbreviate it at this point:
•    Yarai has five core protection engines (ZDP engine against 0-day vulnerabilities in applications, static analysis, sandbox, HIPS and machine learning) and hybrid security approach provides in-depth endpoint defense
•    Yarai doesn´t use signatures like legacy AV applications do
•    Yarai works completely offline and doesn´t need an internet connection

Read more about Yarai here: https://www.ffri.jp/en/products/yarai.htm

Blog post in German about Yarai: https://www.securedsector.com/ffri-yarai-next-generation-endpoint-protection-mit-fnf-engines-und-verhaltenserkennung/

Goal of this test:
–    To prove yarai’s performance capability
–    To prove the efficiency of yarai in offline operation

Notes:
–    Yarai works behavior-oriented. For the test that means that malware is not always detected by static analysis engine but by one of the other engines (sandbox, HIPS or machine learning) at runtime
–    While most legacy AV applications rely on their cloud intelligence and fail in many cases regarding detection of 0-day malware or new ransomware samples when they work in offline mode, Yarai is designed to work offline and doesn´t therefore need internet access
–    Windows Defender is turned off, although it can be activated to run along with Yarai to achieve a maximum protection level

Test methodology:
1.    All samples have been downloaded from testmyav.com (50 samples) and from any.run (single ransomware samples)

2.    Virtual network adapter was disabled to make sure that Yarai has no internet connection and works fully in offline mode

3.    Samples have been extracted from archives to check whether they are being detected by static analysis engine during on-access scan. As mentioned before, static analysis can detect many malware variations but not all. To test whether the other engines were able to detect and block all threats the samples have been executed either manually or via command line

Schutz vor Ransomware/Cryptolocker

Ich habe dazu bereits vor einigen Wochen einen Artikel auf meinem anderen Blog gepostet, deshalb fasse ich mich an dieser Stelle kurz:

  • Für 2016 ist nach wie vor keine Besserung in Sicht, ganz im Gegenteil: Die Anzahl an Cryptolockern wird massiv zunehmen. Warum? Ganz einfach: Es handelt sich um ein äußerst lukratives Geschäftsmodell mit geringem Risiko für die Cyberkriminellen, die hinter Ransomware-Kampagnen stecken
  • Es gibt mittlerweile im Ransomware-Bereich Geschäftsmodelle auf Provisionsbasis, d.h. die Infrastruktur zum Ausrollen von Malware wird kostenlos zur Verfügung gestellt, dafür werden dann zwischen 10-20% Provision bei den Einnahmen fällig, die von den Hintermännern kassiert wird
  • AV-Software ist heutzutage nicht mehr in der Lage, mit der Vielzahl an neuer Cryptoware Schritt zu halten. Es gibt zwar einige interessante Entwicklungen in diesem Bereich, aber der entscheidende Durchbruch ist noch nicht gelungen und wird garantiert auch noch etwas länger auf sich warten lassen

Mehr zu diesem Thema in meinem nächsten Artikel.