А как тогда Касперский это сделал? Или у него эта фича - просто (в основном) крикливый маркетинговый шлак (для запудривания мозгов пользователям-ротозеям с небольшим умом), не имеющий под собой реального, эффективного, полезного механизма?
Сначала приведу немного вводных данных по этой теме.
1). Из статьи про фичи:
Декабрь 8, 2011
...
К сведению, в начале сентября у нас в базе было около 300 миллионов проверенных файлов.
...
... посмотреть репутацию файла ...
...
Кстати, в среднем каждую секунду KSN получает 400 тысяч (sic!) таких запросов.
Сейчас, через 6 лет после описанных событий, объёмы хранимых данных, и частота запросов к этой базе должны возрасти на 2 порядка, IMHO.
2). Из ЛС с ЛС с действующим аналитиком компании выяснилось, что поставить окончательный диагноз бывает затруднительно. Программа может долго "прикидываться шлангом", а потом постепенно начать действовать (пока это всё-таки редкие случаи / экземпляры)...
В общем, инфраструктуры на это надо поднять нехило. Да потом ещё поддерживать пожизненно...
И напоследок. WannaCry успешно распространился по "безопасной сети" (KSN). И делал это достаточно долго, больше часа (вышеупомянутого в ссылках).
Серебряной пули не существует. Есть только искусство балансирования на грани возможного.