Jump to content
Zandatsu

Вирусы-шифровальщики, и методы борьбы с ними с KES 10 [В процессе]

Recommended Posts

Тут описан принцип http://support.kaspersky.ru/7390 но думаю ничего нового для вас там не будет

Дык дело не в том, что я неправильно настраиваю, а в том, что настройки не работают если не вводить имя пользователя, но работают если вводить имя, но не вводить пароль. И самое непонятное, что не дает сохраниться без пароля. Неужели нельзя было сделать авторизацию опциональной как в консоли KSC?..

Share this post


Link to post
Дык дело не в том, что я неправильно настраиваю, а в том, что настройки не работают если не вводить имя пользователя, но работают если вводить имя, но не вводить пароль. И самое непонятное, что не дает сохраниться без пароля. Неужели нельзя было сделать авторизацию опциональной как в консоли KSC?..

Если никто умный не ответит то думаю можно делать кейс

Edited by DWState

Share this post


Link to post

Можно настроить эти уведомления не средствами KES (для которых без пароля никак), а средствами самого KSC

В политике KES10 - раздел Уведомления - Критические события - Запуск программы запрещен

Share this post


Link to post
Можно настроить эти уведомления не средствами KES (для которых без пароля никак), а средствами самого KSC

В политике KES10 - раздел Уведомления - Критические события - Запуск программы запрещен

это контроль запуска программ - не путайте с контролем активности, а уведомления настраиваются в политике для KES и глобальные настройки в KSC - отчеты

Edited by mvs

Share this post


Link to post
2. AUSI.com

post-8651-1410165107_thumb.jpg

 

Картина та же, попытки прописаться в автозапуск и реестр разрешены но доступ на изменение файлов блокирован.

По отношению в AUSI был вынужден отключить ФА и МС так как вирус старенький и блокировался данными компонентами не добираясь до контроля активности программ.

 

PS: Остается для меня открытым вопрос не будет ли данное правило мешать обычной работе пользователей

тут у меня другой вопрос.. почему вирус на который есть детект помещается в группу слабых ограничений???? почему не в cильные? я понимаю если бы в базах не было детекта то по умолчанию не имеющие цифровой подписи помещаются в слабые ограничения, но тут когда есть явный детект...

Edited by mvs

Share this post


Link to post
тут у меня другой вопрос.. почему вирус на который есть детект помещается в группу слабых ограничений???? почему не в вильные? я понимаю если бы в базах не было детекта то по умолчанию не имеющие цифровой подписи помещаются в слабые ограничения, но тут когда есть явный детект...

А чем детект то делать если были отключены ФА и Мониторинг системы, в группу помещает тогда контроль активности программ, но согласно правилу получает запрет на изменения файлов. С другой стороны KSN был включен и синхронизирован с облаком. :pardon:

Edited by DWState

Share this post


Link to post
А чем детект то делать если были отключены ФА и Мониторинг системы, в группу помещает тогда контроль активности программ, но согласно правилу получает запрет на изменения файлов.

да понимаю, а вы думаете что контроль активности программ только проверяет наличие цифровой подписи? по md5 заносить (из базы KSN в том числе) такие зловреды в группу недоверенных, мало ли по каким причинам ослаблен ФА? (вдруг в политике приостановка настроена при запуске легитимного ПО). Вы картинку то свою сами внимательно посмотрите, антивирус знает название - но почему-то все равно помещает в группу только слабых ограничений. Почему бы не использовать детект баз или эвристики?

Edited by mvs

Share this post


Link to post
да понимаю, а вы думаете что контроль активности программ только проверяет наличие цифровой подписи? по md5 заносить (из базы KSN в том числе) такие зловреды в группу недоверенных, мало ли по каким причинам ослаблен ФА? (вдруг в политике приостановка настроена при запуске легитимного ПО). Вы картинку то свою сами внимательно посмотрите, антивирус знает название - но почему-то все равно помещает в группу только слабых ограничений. Почему бы не использовать детект баз или эвристики?

Да все понял вас. Вызывает вопросы.

Share this post


Link to post
да понимаю, а вы думаете что контроль активности программ только проверяет наличие цифровой подписи? по md5 заносить (из базы KSN в том числе) такие зловреды в группу недоверенных, мало ли по каким причинам ослаблен ФА? (вдруг в политике приостановка настроена при запуске легитимного ПО). Вы картинку то свою сами внимательно посмотрите, антивирус знает название - но почему-то все равно помещает в группу только слабых ограничений. Почему бы не использовать детект баз или эвристики?

 

 

Мы уточним данный вопрос у специалистов, как только будет информация постараемся Вам ответить.

 

Спасибо за понимание.

 

 

Share this post


Link to post
да понимаю, а вы думаете что контроль активности программ только проверяет наличие цифровой подписи? по md5 заносить (из базы KSN в том числе) такие зловреды в группу недоверенных, мало ли по каким причинам ослаблен ФА? (вдруг в политике приостановка настроена при запуске легитимного ПО). Вы картинку то свою сами внимательно посмотрите, антивирус знает название - но почему-то все равно помещает в группу только слабых ограничений. Почему бы не использовать детект баз или эвристики?

 

 

Добрый день.

 

По вашему вопросу можно создать инцидент в Companyaccount.

 

Для этого в кейс нужно будет прикрепить трассировки продукта уровня 600, собранные с включенным App Priveledge controll и сами файлы без электронной подписи.

 

Наши эксперты подробно обьяснят ответ на Ваш вопрос.

 

Спасибо.

Share this post


Link to post

для этого нужны образцы шифровальщика и время (которого у меня нет), я лишь поделился своими замечаниями. Возможно это сможет сделать DWState?

Спасибо за ответ!

Share this post


Link to post
для этого нужны образцы шифровальщика и время (которого у меня нет), я лишь поделился своими замечаниями. Возможно это сможет сделать DWState?

Спасибо за ответ!

 

 

Если у кого либо будет желание озадачиться, мы всегда будем рады помочь.

 

Спасибо.

Share this post


Link to post
Если у кого либо будет желание озадачиться, мы всегда будем рады помочь.

 

Спасибо.

ммм ... настораживает один момент: у вас все детектится нормально? В Сильные ограничения попадает? Или специалисты даже не проверили сей момент, сославшись на то, чтобы пользователь сдетектил и прислал все готовое в лабораторию?

Уже не в первый раз Лаборатории К показываешь косяки, а они их решать не хотят.

Была ситуация, по которой закрыл кейс: нужна была длинная (очень) ссылка на интернет ресурс для веб-контроля - был ответ: "У нас такого нет, сделайте его сами, пришлите результат трассировок". У меня нет желания возиться/искать такую ссылку/сделать свою, если у самогой ЛК нет желания сделать продукт лучше.

Edited by oit

Share this post


Link to post
У меня нет желания возиться/искать такую ссылку/сделать свою, если у самогой ЛК нет желания сделать продукт лучше.

Ну это скорее для фанатов, вас же никто не заставляет

Share this post


Link to post
Ну это скорее для фанатов, вас же никто не заставляет

Так дело то не в этом: у самой лаборатории нет желания возиться. У меня есть желание выяснять, прилагать трассировки, но когда мне говорят, что вам нужно что-то найти самому, т.к. "нам лень пошевелить Ж и вам предоставить", тут никакого желания не остается. Это уже говорит об уважении к своим клиентам со стороны ЛК.

Edited by oit

Share this post


Link to post
Так дело то не в этом: у самой лаборатории нет желания возиться. У меня есть желание выяснять, прилагать трассировки, но когда мне говорят, что вам нужно что-то найти самому, т.к. "нам лень пошевелить Ж и вам предоставить", тут никакого желания не остается. Это уже говорит об уважении к своим клиентам со стороны ЛК.

 

 

Господа, предлагаю оставаться в рамках приличного общения и далее писать в топик только коментарии по теме, а не иначе. На усмотрение было предложено завести кейс в случае если есть желание разобраться в данном вопросе при помощи экспертов.

Спасибо за Ваше понимание.

Share this post


Link to post
Господа, предлагаю оставаться в рамках приличного общения и далее писать в топик только коментарии по теме, а не иначе. На усмотрение было предложено завести кейс в случае если есть желание разобраться в данном вопросе при помощи экспертов.

Спасибо за Ваше понимание.

извините за весь следующий оффтоп:

ничего в-принципе неприличного не написал

Хочу задать вопрос частный, на примере данном:

ммм ... настораживает один момент: у вас все детектится нормально? В Сильные ограничения попадает? Или специалисты даже не проверили сей момент, сославшись на то, чтобы пользователь сдетектил и прислал все готовое в лабораторию?

Попытаюсь правильно сформулировать вопрос: Пытаются ли специалисты ЛК воспроизводить проблемы без заведения кейсов на основе данных с форума в частности?

*Если не можете ответить в данной теме, напишите, пожалуйста, подробный ответ в ЛС. Вопрос более задавать не буду, поэтому оставьте ответ либо тут либо в ЛС.

Спасибо.

Share this post


Link to post
извините за весь следующий оффтоп:

ничего в-принципе неприличного не написал

Хочу задать вопрос частный, на примере данном:

 

Попытаюсь правильно сформулировать вопрос: Пытаются ли специалисты ЛК воспроизводить проблемы без заведения кейсов на основе данных с форума в частности?

*Если не можете ответить в данной теме, напишите, пожалуйста, подробный ответ в ЛС. Вопрос более задавать не буду, поэтому оставьте ответ либо тут либо в ЛС.

Спасибо.

 

 

Безусловно пытаются, но так как обращений приходит очень большое колличество это требует времени. Создание кейсов же позволяет более оперативно и прицельно решать технические задачи, так как есть возможность направлять их непосредственно в экспертную группу.

Спасибо за понимание.

Share this post


Link to post
ничего в-принципе неприличного не написал

Попытаюсь правильно сформулировать вопрос: Пытаются ли специалисты ЛК воспроизводить проблемы без заведения кейсов на основе данных с форума в частности?

Ну в нашем случае необходимо еще иметь как минимум конкретно тот вирус который описан в проблеме, а это не длинная ссылка, которую найти не составляет труда. В данном случае данный вирус уже имеется у меня на руках и воспроизвести проблему со всеми трассировками в данном случае быстрее и легче конкретно мне, о чем собственно и идет разговор.

 

PS сейчас воспроизведу и отправлю

Edited by DWState

Share this post


Link to post
В данном случае данный вирус уже имеется у меня на руках и воспроизвести проблему со всеми трассировками в данном случае быстрее и легче конкретно мне, о чем собственно и идет разговор.

 

PS сейчас воспроизведу и отправлю

За что вам и спасибо :)

с результатами поделитесь пожайлуста, можно в личку.

Share this post


Link to post

По поводу обнаружения активности шифровальщика в системе хочу сказать, что не только KES со своим Мониторингом системы ловит, но и KAV 6.0.4. Только нужно чтобы был включен флаг "обнаруживать поведение, характерное для программ-троянов" в настройках проактивной защиты. По умолчанию, кажется, выключен.

Share this post


Link to post
По поводу обнаружения активности шифровальщика в системе хочу сказать, что не только KES со своим Мониторингом системы ловит, но и KAV 6.0.4. Только нужно чтобы был включен флаг "обнаруживать поведение, характерное для программ-троянов" в настройках проактивной защиты. По умолчанию, кажется, выключен.

и статья есть соответствующая - http://support.kaspersky.ru/10967

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.