AV-Test 2025: Тестирование защиты антивирусов против программ-вымогателей

Для обычных пользователей потеря фотографий с отпуска и других личных воспоминаний может быть очень болезненной. А для компаний успешная атака может означать потерю всего бизнеса. Когда на устройства проникают вредоносные программы — будь то инфостилеры или шифровальщики — информация либо утекает в чужие руки, либо блокируется с использованием сложного шифрования. Надёжное защитное ПО, как для домашних пользователей, так и для корпоративных сред, должно предотвращать такие сценарии.

Насколько хорошо оно с этим справляется, демонстрирует тест Advanced Threat Protection (ATP) — система проверки расширенной защиты от угроз. В рамках теста специалисты AV-Test запускают 10 особо опасных сценариев атак на защищенные системы и пошагово фиксируют, как работает защита на каждом этапе. Последнее исследование охватило 16 антивирусных решений и наглядно показало весь спектр возможных исходов — от полной нейтрализации угроз до полной потери данных из-за шифрования или их кражи.

Когда система подвергается атаке инфостилера или программы-вымогателя, сценарий обычно начинается одинаково. Все обычно начинается с фишингового письма: пользователь получает сообщение с вредоносной ссылкой или вложением, открытие которых запускает атаку. Распространено мнение, что как только угроза проникает в систему Windows, все зависит от одного момента: обнаружит ли ее защитное ПО или нет. Однако это не совсем так.

Даже если антивирус не сработал на первом этапе, это еще не значит, что все потеряно. Хорошее защитное ПО — это не только система распознавания угроз. Оно включает в себя множество дополнительных модулей, которые работают совместно, дополняя друг друга и обеспечивая защиту на следующих этапах атаки. Часто именно скоординированная работа этих компонентов позволяет остановить вредоносное ПО, даже если оно уже начало свою активность.

Эффективность антивирусных решений проверяется в тесте Advanced Threat Protection (ATP), где в 10 живых сценариях системы подвергаются атакам 5 программ-вымогателей и 5 инфостилеров. Обнаружение угрозы — лишь первый этап защиты. Важно, способны ли другие модули остановить атаку позже, даже если начало было пропущено. Иногда вредонос оставляет незначительные следы, но бывают и серьёзные инциденты — кража или шифрование отдельных файлов. Однако даже такой исход предпочтительнее полной потери данных.

Тестирование 16 антивирусов

В текущем раунде тестирования AV-Test приняли участие 16 антивирусных решений: 8 потребительских продуктов и 8 корпоративных решений для защиты конечных точек. Все они проходили проверку в марте и апреле 2025 года в тестовых машинах на базе Windows 10 Professional.

Потребительские антивирусы:

• Avast Free AntiVirus
• AVG Internet Security
• Avira Security для Windows
• F-Secure TOTAL
• Kaspersky Premium
• McAfee Total Protection
• Microsoft Defender Antivirus (потребительская версия)
• Norton 360

Корпоративные решения:

• Acronis Cyber Protect
• Avast Ultimate Business Security
• Kaspersky Endpoint Security
• Kaspersky Small Office Security
• Microsoft Defender Antivirus (корпоративная версия)
• Microworld eScan Enterprise EDR
• Trellix Endpoint Security
• WithSecure Elements Endpoint Protection

В итоговой таблице каждой системе присваивается оценка за защиту — максимум 35 баллов. За каждый обнаруженный и полностью остановленный образец программы-вымогателя начисляется до 3 баллов, а за каждого инфостилера — до 4 баллов. Так как используется по 5 образцов каждого типа, в сумме — 10 атак — допускается выставление половинчатых баллов.

Лаборатория описывает последовательность защитных действий в виде матрицы в соответствии со стандартом MITRE ATT&CK. Если продукт не распознает угрозу сразу, это не значит, что защита провалена: на более поздних этапах могут сработать другие защитные механизмы и остановить атаку. Тест четко фиксирует, на каком этапе произошло (или не произошло) вмешательство.

Методы атак

В тестировании использовалась особая техника атаки, которую применяли все вредоносные образцы в рамках 10 сценариев:

Злоумышленники используют MSBuild иначе: они внедряют вредоносный код в проектный файл и побуждают пользователя запустить его на компиляцию. В ходе этого процесса вредоносный код выполняется напрямую в памяти, в виде безфайлового (fileless) вредоносного ПО. Такая атака способна обходить защиту, так как MSBuild считается доверенным системным компонентом и не вызывает подозрений у многих решений безопасности.

10 сценариев атаки

Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Отдельные подметоды, например «T1566.001», перечислены в базе данных MITRE как «Phishing: Spearphishing Attachment». Таким образом, каждый шаг теста идентифицируется среди экспертов и его можно понять логически.

Previous Next

Потребительские антивирусы

Из 8 протестированных антивирусов только три смогли обеспечить безупречную защиту во всех 10 сценариях и набрали максимальные 35 баллов:

• Kaspersky Premium
• McAfee Total Protection
• Microsoft Defender Antivirus (потребительская версия)

Norton распознал 9 из 10 атак. Однако одному инфостилеру все же удалось выполнить свою задачу — это стоило 3,5 балла. А последняя атака, от программы-вымогателя, вовсе осталась незамеченной — еще минус 3 балла. В результате у Norton — 28,5 балла.

Особенно тяжело тест дался продуктам Avast, AVG, Avira и F-Secure. Каждое из этих решений обнаружило только 8 из 10 атак. Один инфостилер и одна программа-вымогатель смогли обойти защиту. Примечательно, что во всех случаях это были одни и те же вредоносные образцы. В итоге каждый из этих продуктов потерял 7 баллов и получил 28 из 35 возможных.

Previous Next

Тем не менее, все протестированные продукты получили сертификат «Advanced Certified» от AV-Test, поскольку набрали как минимум 26,5 балла, то есть 75 % от максимального результата.

Корпоративные решения

Антивирусные продукты для корпоративных пользователей в тесте показали себя в целом лучше, чем решения для домашних систем, однако и здесь не обошлось без проблем.

Безупречную защиту продемонстрировали 5 решений: Acronis, обе версии Kaspersky, Microsoft и Microworld — все они прошли тест без единой ошибки и набрали максимум — 35 баллов:

• Acronis Cyber Protect
• Kaspersky Endpoint Security
• Kaspersky Small Office Security
• Microsoft Defender Antivirus (корпоративная версия)
• Microworld eScan Enterprise EDR

Решение от WithSecure также успешно распознало все 10 угроз, но не смогло оперативно остановить атаку. Один из инфостилеров был обнаружен, но остановлен лишь на последующих этапах — это стоило продукту минус 1 балл (3 из 4 возможных за этот случай). Аналогичная ситуация произошла и с программой-вымогателем — она была распознана, но не нейтрализована немедленно. Все вредоносные действия удалось остановить только позже. Итоговая оценка защиты: 33 из 35 баллов.

Решение от Trellix обнаружило 9 из 10 атак. Один инфостилер прошел незамеченным, а программа-вымогатель — хоть и была распознана, но не остановлена. В результате тестовая система оказалась зашифрована. Общий итог: 28,5 балла.

Бизнес-версия Avast смогла безошибочно отбить 8 атак из 10. Однако в двух случаях — один инфостилер и один шифровальщик — защита не справилась, и вредоносные программы полностью выполнили свои задачи. В результате решение набрало 28 баллов.

Previous Next

Все решения, участвовавшие в тесте, получили сертификат «Advanced Approved Endpoint Protection», так как достигли минимум 26,5 из 35 баллов (75%).

Исключение — Acronis: несмотря на идеальный результат, сертификат не был выдан, поскольку он доступен только тем продуктам, которые также проходят регулярные ежемесячные тесты AV-Test и соответствуют их критериям.

Улучшения возможны

Как видно из итоговой таблицы, некоторые потребительские антивирусы понесли серьезные потери по баллам. Тем не менее, решения от Kaspersky, McAfee и Microsoft доказали, что даже в условиях реальных атак можно обеспечить безупречную защиту. Все три продукта завершили тест с максимальным результатом — 10 обнаруженных и остановленных атак, 35 баллов из 35.

Результаты для корпоративных решений оказались заметно лучше, хотя и не идеальными. Acronis, обе версии Kaspersky, Microsoft и Microworld сработали безошибочно и также получили максимум — 35 баллов.

Некоторые решения хоть и распознали вредонос в рамках сценария, но остановили его действия лишь на последующих этапах. В других случаях защита вовсе не сработала, даже несмотря на то, что угроза была идентифицирована.

Тем не менее, большинство протестированных решений подтвердили, что команды разработчиков в сфере кибербезопасности проделали отличную работу и по-прежнему на шаг опережают киберпреступников.