• Announcements

    • Rodion Nagornov

      Недоступность форума // Forum maintenance   08/16/2017

      В связи с техническими работами форум будет недоступен с 20.00 (МСК) 18.08.2017. Максимальное время недоступности - до 20.00 (МСК) 20.08.2017. *** Due to maintenance forum will be unavailable since 8pm (+3 GMT) 18-Aug-2017. The longest possible time of maintenance - till 8.pm (+3 GMT) 20-Aug-2017.

Julien

KL France
  • Content count

    399
  • Joined

  • Last visited

About Julien

  • Rank
    Cadet

Contact Methods

  • E-mail
    0

Profile Information

  • Gender
    Male
  • Location
    Rueil Malmaison
  1. Kaspersky Lab’s analysts are investigating the new wave of ransomware attacks targeting organizations across the world. Our preliminary findings suggest that it is not a variant of Petya ransomware as publically reported, but a new ransomware that has not been seen before. While it has several strings similar to Petya, it possesses entirely different functionality. We have named it ExPetr. The company’s telemetry data indicates around 2,000 attacked users so far. Organizations in Russia and the Ukraine are the most affected, and we have also registered hits in Poland, Italy, the UK, Germany, France, the US and several other countries. This appears to be a complex attack, which involves several vectors of compromise. We can confirm that modified EternalBlue and EternalRomance exploits are used by the criminals for propagation within the corporate network. Kaspersky Lab detects the threat as: • UDS:DangerousObject.Multi.Generic • Trojan-Ransom.Win32.ExPetr.a • HEUR:Trojan-Ransom.Win32.ExPetr.gen Our behavior detection engine SystemWatcher detects the threat as • PDM:Trojan.Win32.Generic • PDM:Exploit.Win32.Generic In most cases to date, Kaspersky Lab proactively detected the initial infection vector through its behavioral engine, System Watcher. We are also working on behavioral anti-ransomware detection improvement to proactively detect any possible future versions. Kaspersky Lab experts will continue to examine the issue to determine whether it is possible to decrypt data locked in the attack – with the intention of developing a decryption tool as soon as they can. We advise all companies to update their Windows software: Windows XP and Windows 7 users can protect themselves by installing MS17-010 security patch. We also advise all organizations to ensure they have backup. Proper and timely backup of your data may be used to restore original files after a data loss event. Kaspersky Lab corporate customers are also advised to: • Check that all protection mechanisms are activated as recommended; and that KSN and System Watcher components (which are enabled by default) are not disabled. • As an additional measure for corporate customers is to use Application Privilege Control to deny any access (and thus possibility of interaction or execution) for all the groups of applications to the file with the name "perfc.dat" and PSexec utility (part of the Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm and http://support.kaspersky.com/10905) • Configure and enable the Default Deny mode of the Application Startup Control component of Kaspersky Endpoint Security to ensure and enforce the proactive defense against this, and other attacks. If you do not have Kaspersky Lab products on your device – use the AppLocker feature of Windows OS to disable the execution of any files that carry the name “perfc.dat” as well as the PSExec utility from the Sysinternals Suite.
  2. En cas de migration, la licence restera valide. Par contre et pour le message des bases dépassées, la version 10.2.1.23 n'est plus supportée et plus mise à jour... Donc on peut tout modifier mais la péremption sera là quoiqu'il arrive... Pour éviter ce genre de message, il faut migrer vers une version supportée et qui reçoit les mises à jour. Pas d'autre solution !
  3. Bonjour, La version du plugin n'a rien à voir avec le souci, tout comme la version de l'agent elle même. La version 10.4.343 est parfaitement prévue pour administrer la version 10.2.5. Si sans intégrer l'agent, ça fonctionne, je pense plutôt avec un problème de l'agent. Avez-vous essayé de recréer le paquet de l'agent ? Puis ensuite, recréer le paquet KES en intégrant le nouvel agent ? Une FAQ pour aider https://support.kaspersky.com/fr/10625#block1
  4. Après test, je n'ai pas eu de souci d'installation de la version 32bits de Java sur un système 32bits. Si j'ai bien compris, le problème actuellement étant de mettre à jour Java 32bits, sur un système 64bits ? Si c'est le cas, je doute que Kaspersky soit en mesure de le faire... Il va installer avant tout la version du paquet qui concorde avec l'architecture du poste, à savoir 64bits et non 32bits... De plus, Oracle ne recommande pas l'installation de Java 32bits sur un système 64bits pour plusieurs raisons, incluant des problèmes de détection de la présence de Java 32... Pour plus d'infos : http://www.oracle.com/technetwork/java/jav...-64-142952.html Donc pour être honnête, le comportement ne m'étonne pas...
  5. Apparamment, vous utilisez Kaspersky Endpoint Security... Si l'antivirus n'est pas installé sur les machines impactées, quel est le rapport avec Kaspersky ? Donc il y a un antivirus d'installé au final ou pas ? Car au dessus, c'est indiqué le contraire... On peut vous aider à trouver une solution à votre souci, mais il faut bien bien bien clarifier la situation et bien bien bien éliminer les 2 ou 3 contradictions citées au dessus, car là... On est perdu et c'est le drama. Merci d'avance
  6. Bonjour, Hmmm des BSOD avec des pilotes Kaspersky, ca arrive mais les causes sont toutes différentes. Avec juste un message comme ça, difficile de dire. Avant tout et pour les BSOD, il est conseillé de s'assurer que tous les pilotes du poste sont à jour et surtout bien compatibles avec la dernière version de l'OS. Par exemple, un pilote compatible avec Windows 10 RS1 n'est pas forcément compatible avec Creator Update. Et Kaspersky venant se greffer à différents niveau de l'OS et des périphériques, un pilote non à jour peut générer des BSOD. Donc à vérifier Sinon et pour pouvoir investiguer sur ce genre de problématique, il faut ouvrir une demande auprès du support via le portail https://companyaccount.kaspersky.com en fournissant au minimum les éléments suivants : - Un rapport GetSystemInfo : http://support.kaspersky.com/fr/3632 - Un full memory dump du crash - Un descriptif du scénario suivi pour conduire au crash
  7. Bonjour, Je pense que l'erreur n'est pas bloquante. Elle vient juste polluer les journaux d'événements Windows. Ca peut se produire suite à une migration avec une version très récente... Il peut rester des bugs Quoiqu'il en soit et pour ce genre d'erreur, difficile de pouvoir y répondre sans plus d'éléments. Il est préférable d'ouvrir un ticket au niveau du support spécifiquement pour cette erreur via le portail https://companyaccount.kaspersky.com Pour gagner du temps, ajoutez-y un rapport GetSystemInfo à jour du serveur d'administration : http://support.kaspersky.com/fr/3632 Cochez la case "Include Windows Event logs" Etant donné l'heure de l'apparition de l'erreur, précisez aussi l'heure à laquelle la tâche de sauvegarde s'exécute car par défaut, c'est dans ces heures là.
  8. Il semble que vous ayez déjà ouvert un ticket au niveau du support... Pour éviter un doublon et simplifier les investigations, mieux vaut continuer vos échanges via le ticket support.
  9. Sachant que quand je dis partout, c'est sur le serveur d'administration ET les postes clients qui exécutent les tâches. C'est préférable que tout le monde ait le même niveau de patch pour éviter les comportements étranges
  10. Bonjour, Après plusieurs tests de mon côté, ça ne semble pas possible dans la version actuelle car le numéro de build 10586, 14393 et 15063 est stocké dans un champs non filtrable... Par conséquent, la seule solution de contournement consisterait à filtrer les postes en fonction de la présence ou non, des mises à jour microsoft... Par exemple, en présence de l'une de ces KB, le poste est normalement en 1703 : https://support.microsoft.com/en-us/help/40...-update-history En présence de l'une de ces KB, le poste est normalement en 1607 : https://support.microsoft.com/en-us/help/40...-update-history En présence de l'une de ces KB, le poste est normalement en 1511 : https://support.microsoft.com/en-us/help/40...ry-version-1511 En présence de l'une de ces KB, le poste est normalement en version initiale : https://support.microsoft.com/en-us/help/40...eased-july-2015 Après un test rapide, c'est fonctionnel... mais c'est du boulot :/
  11. Effectivement, on avait discuté de votre cas entre nous et trouvé cette solution de contournement... A voir demain après exécution automatique de la tâche, en espérant qu'elle ne boucle pas ! Keep in touch !
  12. Il faudrait s'assurer que le patch B a été installé partout (http://support.kaspersky.com/fr/13356) car celui-ci corrige le problème suivant : "Fonctionnement incorrect du lancement de la tâche programmée Chaque jour lors du passage à l'heure d'été." Ca semblerait coincider avec le comportement... Autrement, vérifier que le souci persiste avec la dernière version du produit (http://support.kaspersky.com/fr/13519), ce qui est par contre plus contraignant qu'un simple patch
  13. Bonjour, Il faudrait déjà être sur que le souci est lié à la protection Kaspersky. Et si tel est le cas, essayer de déterminer si c'est la protection côté serveur, OU côté station qui est à l'origine du souci... Mais dans tous les cas, lorsque vous avez un programme particulier, une application métier ou un logiciel d'un éditeur peu connu... Pour éviter des erreurs ou un faux positif, il est conseillé de créer des règles d'exclusion pour les applications en question et placer les exe dans les applications de confiance. Aussi et au niveau du Pare-feu (s'il est utilisé), il peut être envisagé de passer le réseau local avec le statut "Réseau de confiance" afin d'éviter des restrictions au niveau réseau.
  14. Etrange... Merci du retour en tout cas ! Par curiosité, quelle était l'heure d'exécution de la tâche quand les mails arrivaient par milliers ? Et quelle est la nouvelle heure d'exécution ? Bonne journée
  15. Bonjour , Le plus simple dans ce cas est de ne pas installer le chiffrement sur les postes... La licence ne permettant pas d'utiliser le chiffrement et le module ne pouvant pas s'activer, il est normal qu'il remonte en warning. Donc 2 solutions : - Désinstaller le module de chiffrement des postes (via une tâche "Modification de la sélection des modules de l'application") - Désactiver le statut "Avertissement" pour cette erreur, dans les propriétés du groupe et dans la section "Etat de l'ordinateur"