Тестирование AV-Test: 25 антивирусов для Windows против шифровальщиков и ПО для кражи данных

Программы-вымогатели и похитители информации — главные инструменты кибератак. Если атака проходит успешно, злоумышленники вымогают выкуп, продают данные в интернете или делают и то, и другое. Этого можно избежать, если антивирусное ПО эффективно блокирует угрозы сразу же. Но справляется ли оно с этим на практике? В тесте Advanced Threat Protection (ATP) было проверено 25 антивирусных решений для частных и корпоративных пользователей в 10 реалистичных сценариях борьбы с программами-вымогателями и похитителями данных.

Отчеты от жертв атак с использованием программ-вымогателей или инфостиллеров почти всегда звучат одинаково: если один ПК заражен в сети, зловред быстро распространяется и шифрует почти все, что он там находит, или похищает данные. Без резервных копий и планов действий на случай непредвиденных обстоятельств компании, в частности, сталкиваются с проблемами, а иногда даже рискуют оказаться банкротами, как недавно указали некоторые сообщения СМИ.

Однако таких последствий можно избежать, если использовать качественные решения защиты. Они должны дополняться обновлениями, резервным копированием и планами действий при инцидентах.

Последний тест ATP, который проходил в январе и феврале 2025 года, испытал 25 решений безопасности для потребителей и корпоративных пользователей в 10 реальных сценариях, в которых 5 образцов программ-вымогателей и 5 вариантов инфостиллеров атаковали системы Windows 10 в лабораторных условиях. Почти 75 процентов ПК по всему миру работают под управлением ОС Windows. Из этих ПК Windows 10 достигает доли чуть менее 60 процентов. Однако Windows 11 все больше догоняет, теперь на нее приходится почти 40%.

25 антивирусов в тестировании Advanced Threat Protection

В тестировании принимали участие следующие потребительские антивирусы:

• AhnLab V3 Internet Security
• Avast Free AntiVirus
• AVG Internet Security
• Avira Internet Security для Windows
• Bitdefender Total Security
• ESET Security Ultimate
• F-Secure TOTAL
• G Data Internet Security
• McAfee Total Protection
• Norton 360

В тестировании принимали участие следующие корпоративные антивирусы:

• AhnLab V3 Endpoint Security
• Avast Ultimate Business Security
• Bitdefender Business Security
• Bitdefender Business Security Enterprise
• CrowdStrike Falcon Sensor
• ESET PROTECT Advanced
• Kaspersky Next EDR Foundation
• Kaspersky Small Office Security
• eScan Enterprise EDR
• Qualys Endpoint Protection
• Rapid7
• Sophos Intercept X Advanced
• Symantec Endpoint Security Complete
• Trellix Endpoint Security
• WithSecure Elements Endpoint Protection

Многие антивирусы получили максимальные 35 баллов за защиту. Это результат 10 реальных атак: 5 с программами-вымогателями и 5 с инфостиллерами. Каждый заблокированный вымогатель приносит до 3 баллов, похититель — до 4. Баллы начисляются за каждое успешно остановленное действие — полностью или частично. Все шаги фиксируются по стандарту MITRE ATT&CK. Даже если антивирус не сразу обнаруживает угрозу, он может остановить атаку на следующих этапах. Тест показывает, где именно сработала защита — или не сработала.

В то время как многие антивирусы получили полные 35 баллов за защиту, в общей сложности 5 известных антивирусов имели отдельные проблемы с угрозами и, следовательно, потеряли важные баллы.

Сценарии и методы атак

В тесте использовалась особая техника атаки под Windows — обход контроля учетных записей (UAC). UAC защищает систему от несанкционированных изменений. Однако злоумышленники могут обойти эту защиту, чтобы получить повышенные права. В тесте использовался интерфейс IFileOperation (COM), который позволяет копировать или перемещать файлы с повышенными правами без запроса UAC. Атака запускалась через процесс с автоматическим повышением прав, например, mmc.exe (консоль управления Windows). Это позволяло загрузить вредоносную DLL в доверенный процесс. Затем вредонос либо запускался напрямую, либо устанавливал управляемую службу Windows.

10 тестовых сценариев

Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Отдельные подметоды, например «T1566.001», перечислены в базе данных MITRE как «Phishing: Spearphishing Attachment». Таким образом, каждый шаг теста идентифицируется среди экспертов и его можно понять логически.

Previous Next

Антивирусы для дома

Эксперты протестировали 10 потребительских решений: AhnLab, Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, McAfee и Norton.

Максимальные 35 баллов получили AhnLab, Avast, AVG, Bitdefender, F-Secure, McAfee и Norton. Эти антивирусы успешно отразили все 10 атак.

Avira обнаружила и отразила атаки 9 зловредов абсолютно без ошибок. Однако один похититель данных прорвался незамеченным, посеял хаос и перехватил данные. Это привело к потере 4 баллов, что в итоге составило 31 балл.

ESET также не смогла обнаружить или остановить похитителя данных и поэтому потеряла все 4 балла. В другом случае с программой-вымогателем обнаружение также не удалось, но сработали дополнительные защитные меры, остановив атаку. Это означало, что ESET лишилась еще одного балла. В конце теста решение набрало 30 из 35 баллов.

У G DATA была проблема с похитителем данных и экземпляром программы-вымогателя, поскольку программа просто не распознавала угрозы, что позволило украсть данные или зашифровать систему. Решение не досчиталось 7 баллов, и итоговый балл составил 28 баллов.

Previous Next

Чтобы получить сертификат AV-TEST «Advanced Certified», нужно не менее 26,5 балла. Все продукты, кроме G DATA, набрали нужный результат. Однако G DATA осталась без сертификата — AV-TEST выдает его только участникам регулярных ежемесячных тестов, прошедших все проверки.

Корпоративные решения

В лабораторных испытаниях решения для корпоративных конечных точек продемонстрировали сильную защиту от программ-вымогателей и похитителей данных. Из 15 протестированных антивирусных решений 13 справились с задачей идеально: они обнаружили и полностью нейтрализовали все 10 угроз. Эти решения получили максимальные 35 баллов за защиту:

AhnLab, Avast, Bitdefender (обе версии), Crowdstrike, Kaspersky (обе версии), Microworld, Qualys, Sophos, Symantec, Trellix и WithSecure.

Решение от Rapid7 допустило две критичные ошибки. В одном из сценариев антивирус не распознал вымогателя, и тот зашифровал систему — минус 3 балла. В другом случае похититель данных был замечен, но не заблокирован, что позволило украсть информацию — еще минус 3,5 балла. В итоге — 28,5 из 35 баллов.

ESET столкнулась с серьезными трудностями. Один из похитителей прошел защиту полностью, данные были скомпрометированы — минус 4 балла. В четырех других случаях вредоносные программы были распознаны, но не сразу остановлены, что позволило им внедрить DLL-файлы в систему. Последующие защитные меры остановили атаку, но каждый случай стоил еще по 1 баллу. Итого — 27 из 35 баллов.

Previous Next

Для получения сертификата AV-TEST «Advanced Approved Endpoint Protection» продукт должен набрать не менее 26,5 баллов (75 % от максимума). Этого уровня достигли почти все участники. Однако Rapid7 остался без сертификата — несмотря на достаточное количество баллов, антивирус не прошел регулярные ежемесячные тесты, что является обязательным условием сертификации AV-TEST.

Различные результаты

Каждое новое тестирование ATP проводится с использованием опасных образцов программ-вымогателей и похитителей данных. Методы атак при этом постоянно меняются. Благодаря этому результаты одного и того же антивирусного решения можно сравнивать в течение года и отслеживать, как он справляется с различными типами угроз.

В последнем раунде тестирования использовалась техника обхода встроенных механизмов защиты Windows. Это усложнило задачу: некоторые продукты действительно испытали трудности. Во многих случаях угроза была обнаружена, но остановлена была только на следующих этапах. Такие случаи снижали итоговый балл в оценке защиты. Тем не менее пользователи и компании оставались защищенными в критической ситуации.

Полные провалы случались редко. Лишь в отдельных случаях антивирус не распознавал угрозу вовсе или не смог остановить атаку после ее обнаружения. Эти ошибки и отражены в итоговом балле защиты.

Тем не менее факт остается фактом: 7 антивирусов для потребителей и 13 корпоративных решений прекрасно справились со всеми 10 сценариями. Они обеспечили полную защиту от угроз и заслуженно получили максимальные 35 баллов и сертификат ATP.