Jump to content
Monarch2

Schutz vor Verschlüsselung und Ausnahmen?

Recommended Posts

Hallo,

 

ich habe einen unserer Fileserver auf den Kaspersky Security 10 für Windows Server umgestellt, eben auch um die AntiCryptor-Funktion zu bekommen.

 

Jetzt habe ich das Problem, dass es mit einer bestimmen Applikation, die auf den Server zugreift (CATIA V5, um genau zu sein), Probleme gibt. Deren Zugriffe

werden teilweise als Verschlüsselungsversuche eingestuft (fälschlicherweise), der betreffende Computer dann temporär vom Zugriff auf den Server ausgeschlosen

(wie es im Fall des Falles auch sein sollte).

 

Eine Meldung beispielhaft:

 

Das Ereignis "Infiziertes oder anderes Objekt gefunden" trat ein.

Beschreibung:

Objekt gefunden: HEUR:Trojan.Multi.Crypren.gen. Name des Objekts: E:\xxx\.53dac256901700003fbcba57a72d0000.DOC1.starter.bck

(voller Verzeichnisname hier entfernt, diese Zugriffe geschehen auf verschiedenen Verzeichnissen)

 

Wie kann ich diese Fehlalarme verhindern? Ich habe es mit einer Ausnahme versucht wie im Anhang ersichtlich. Ohne Erfolg :(

post-192846-1471857116_thumb.png

Edited by Monarch2

Share this post


Link to post
Wie kann ich diese Fehlalarme verhindern? Ich habe es mit einer Ausnahme versucht wie im Anhang ersichtlich. Ohne Erfolg :(

Zunächst deaktiviere einmal das Blocking. Dann hast du zwar keinen Schutz vor Verschlüsselungsangriffen, aber du hast eine gute Testumgebung.

 

Hast du Critical Fix 4 installiert? Wenn ja: Critical Fix 7 beim Kaspersky-Support anfordern.

 

Ich habe allerdings immer noch ähnliche Probleme. Trotz Critical Fix 7. Und warte auf Antwort von Kaspersky.

Share this post


Link to post

OK, das Blocking zu deaktivieren und das ganze beobachten ist eine gute Möglichkeit, hätte ich selbst auch drauf kommen können :D

 

Ja, der Fix 4 ist installiert. Dann schreibe ich denen mal... Danke schonmal!

 

Wenn du mehr erfährst, dann wäre es nett, wenn du hier Bescheid gibst :)

Edited by Monarch2

Share this post


Link to post

Hallo zusammen,

 

zur Information, die Unterschiede zwischen dem Autopatch und den neueren Versionen:

AC4 Autopatch

AC5 und AC6 verbessern zusätzlich die Verarbeitung von .doc-Dateien

AC7 verbessert zusätzlich das Verhalten bei URLs und Shortcuts zu URLs.

 

Ausnahmen müssen übrigens im Anti-Cryptor Modul direkt angelegt werden. Das geht über den Menüpunkt "Ausnahmen" nicht.

Anbei ein Screenshot der zeigt, wo und wie diese Ausnahmen angelegt werden müssen. Achtet auch darauf, dass die Schlosssymbole geschlossen sein müssen, da sonst keine Änderungen übertragen werden.

 

Viele Grüße

post-494238-1471864954_thumb.png

Share this post


Link to post

Okay, vielen Dank für die Erklärung der Patches. Ich hab jetzt schon einen Incident angelegt... INC000006596093.

 

Ich sehe, dass ich im AntiCryptor-Modul Ausnahmen in Form von Ordnern anlegen kann. Aber leider nicht über Dateinamen/Wildcards wie oben im Screenshot.

Wenn dort ein Ordner eingetragen wird, sind dann auch die Unterverzeichnisse inbegriffen?

 

Wenn ja, hätte ich dann nur die Wahl zwischen zwei unbefriedigenden Methoden: einen größeren übergeordneten Ordner ausschließen oder eine ganze Zahl von Ordnern.

Share this post


Link to post
Bereits beantwortet :ay:

Okay, danke. Ich hab jetzt zwei Ausnahmen eingetragen, die es eigentlich abdecken sollten.

Lasse es jetzt erst einmal ohne die Blockierung laufen und überwache es.

Share this post


Link to post
zur Information, die Unterschiede zwischen dem Autopatch und den neueren Versionen:

AC4 Autopatch

AC5 und AC6 verbessern zusätzlich die Verarbeitung von .doc-Dateien

AC7 verbessert zusätzlich das Verhalten bei URLs und Shortcuts zu URLs.

Heißt das, die Critical Fixe sind nicht komulativ?

Share this post


Link to post

Ich muss nochmal hierauf zurückkommen.

 

Die ursprünglichen Ausnahmen, um die es hier im Thread ging, konnte ich einstellen und unterbinden auch die betreffenden Fehlalarme.

 

Jetzt habe ich das Problem, es gibt diverse Dateitypen, von der CAD-Anwendung SolidWorks und auch ein anderes CAD-Format, die immer wieder für Fehlalarme sorgen.

Konkret sind dies die Dateiendungen CMB, SLDPRT, SLDASM, SLDDRW, SLDBLK.

 

Ich habe diese als Ausnahme im Format "*.SLDPRT" angelegt, ohne jede Angabe von Ordnern. Dies scheint nicht zuverlässig zu funktionieren. Da sich diese Dateien in zehntausenden Ordnern hier im System befinden, ist es auch unmöglich, für diese Fälle konkrete Ordner anzugeben.

 

Ist es überhaupt vorgesehen, solche Ausnahmen zu verwenden?

Share this post


Link to post
Ich habe diese als Ausnahme im Format "*.SLDPRT" angelegt, ohne jede Angabe von Ordnern. Dies scheint nicht zuverlässig zu funktionieren. Da sich diese Dateien in zehntausenden Ordnern hier im System befinden, ist es auch unmöglich, für diese Fälle konkrete Ordner anzugeben.

Es funktioniert bei mir auch nicht zuverlässig. Z. B. *.partial, das beim Download von Dateien temporär benutzt wird, wird weiterhin als Angriff erkannt.

Ist es überhaupt vorgesehen, solche Ausnahmen zu verwenden?

Ich würde sagen: Laut Doku ja, aber ich habe einen Call bei Kaspersky offen und da ist mir in einem konkreten Fall gesagt worden: Schließen Sie bitte das Verzeichnis aus und nicht nur das Suffix.

 

Ich habe jetzt bei einem konkreten Fehler noch einmal einen Trace abgeschickt. Mal sehen, was für eine Empfehlung zurückkommt.

Share this post


Link to post

Alles klar, dann bin ich mal gespannt, was du zu hören bekommst. Immerhin bin ich nicht der einzige Leidtragende :P

Share this post


Link to post
Heißt das, die Critical Fixe sind nicht komulativ?

Guten Morgen,

sorry wenn das mißverständlich ankam, natürlich sind die Fixes kumulativ. Der aktuellste CF enthält auch die Verbesserungen der vorherigen CFs.

Lediglich AC4 (CriticalFix Anticryptor 4) wird zusätzlich installiert, da dieser als Autopatch verteilt wird und es keine Mechanismen gibt, die hier eine Prüfung vornehmen.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.