Jump to content
Sign in to follow this  
LimeSoft

KIS 17.0.0.611 (e) и актуальная угроза Wana decrypt0r 2.0

Recommended Posts

Какoй вывод из данного диалога? Наследование прав?!?

Нет никакого наследования прав, что и сказано в последней приведенной Вами цитате.

Просто одно доверенное приложение запустило другой доверенное приложение. Если же запускаемое приложение не является доверенным, значит доверие у него ниоткуда и не возьмется, оно так и останется ограниченным.

 

К примеру настроянно, что все (если нет доверенной ЦП или нет в базе КСН) попадает в группу Недоверенные. Куда попадут вреданосные файлы, если нет сигнатурного детекта? ... используя данную уязвимость

 

Попадут согласно настройке антивируса, в указанную Вами группу.

Share this post


Link to post
Нет никакого наследования прав, что и сказано в последней приведенной Вами цитате.

Просто одно доверенное приложение запустило другой доверенное приложение.

Запускаться будет сразу доверенное приложение (причем архидоверенное, с подписью MS) c правами опять же доверенного, т.к. инициатором запуска будет уязвимая служба (что собственно и есть соль уязвимости).

 

Тогда что имелось ввиду в Вашем посте ранее?

Edited by kasperskynutzer

Share this post


Link to post

Добрый день!

 

В свете последних угроз шифровальщиков. Кто нибудь напишите механику процесс защиты от шифровальщиков в ПО касперского.

 

Нужно решение для дома и для офиса

 

Сначала позиционировались только Kaspersky Total Security для всех устройств и Kaspersky Endpoint Security для бизнеса Расширенный как приложения имеющие защиту. Вчера пришло уведомление что Kaspersky Internet Security теперь защищает от шифровальщиков. Только нигде не говорится как.

 

Меня интересует откат измененных файлов в случае срабатывания шифровальщика. На это периодически мелькают ссылки но более подробно не могу найти описания.

Из последних атак - у сотрудника стоял KAV Free, он с почты что то открыл, шифровальщик сработал, KAV его удалил судя по логу, но тот успел зашифровать файлы на машине. По сети не прошло, но возможно сам шифровальщик был не для атак по локальной сети.

 

Способна ли последняя версия KIS откатывать изменения файлов?

Share this post


Link to post
Способна ли последняя версия KIS откатывать изменения файлов?

Способен последний, и даже не очень последний, и даже далеко не последний KAV. Но не "Free".

Share this post


Link to post
Способен последний, и даже не очень последний, и даже далеко не последний KAV. Но не "Free".

 

До этого была атака шифровальщика через rdp на сервере, пробило по сетке все что было расшарено в общий доступ, зашифровало везде, в том числе и на машинах с KIS 2017, ничего нигде не откатилось.

Share this post


Link to post
До этого была атака шифровальщика через rdp на сервере, пробило по сетке все что было расшарено в общий доступ, зашифровало везде, в том числе и на машинах с KIS 2017, ничего нигде не откатилось.

Это не считается, т.к. злоумышленник получил удаленный доступ к серверу и уже на нем вручную с отключенным антивирусом запустил шифровальщика. Виноваты в этом случае только вы, а не антивирус. Антивирус на рабочих станциях не может защищать шифрование общих папок, если шифрование выполняется на другом компьютере, где антивирус был отключен.

Share this post


Link to post
Это не считается, т.к. злоумышленник получил удаленный доступ к серверу и уже на нем вручную с отключенным антивирусом запустил шифровальщика. Виноваты в этом случае только вы, а не антивирус. Антивирус на рабочих станциях не может защищать шифрование общих папок, если шифрование выполняется на другом компьютере, где антивирус был отключен.

 

Еще раз по структуре заражения объясните плиз. По кейсу: в локальной сети 5 машин. На 4 стоит KIS, на 1 не стоит. На незащищенном ловят шифровальщика, поразит ли он по сети файлы в сетевых папках остальных машин. Папки локально расположены на защищенных машинах и к ним открыт общий доступ. Возможно ли заражение этих машин?

Share this post


Link to post
До этого была атака шифровальщика через rdp на сервере, пробило по сетке все что было расшарено в общий доступ, зашифровало везде, в том числе и на машинах с KIS 2017

 

А какое отношение имеет домашний KIS к серверу?

Домашние антивирусы защищают свою (домашнюю) систему. Странно просить от них бОльшего!

Атака пришла из архидоверенной машины в сети - ну так защищайте ее!

Edited by Maratka

Share this post


Link to post
А какое отношение имеет домашний KIS к серверу?

Домашние антивирусы защищают свою (домашнюю) систему. Странно просить от них бОльшего!

Атака пришла из архидоверенной машины в сети - ну так защищайте ее!

 

Чем отличается домашняя машина с KIS от офисной машины с KIS?

Смотрю описание серверного антивируса - там защита от шифровальщиков осуществлена через тот же модуль "мониторинг системы", что и в KIS.

 

Антивирус должен фиксировать подозрительную активность, независимо с какой стороны она приходит. Пусть атака пришла по сети, но файлы то меняются локально расположенные на машине с установленным антивирусом, почему он не видит подозрительные изменения в данном случае?

Edited by Aazmandius

Share this post


Link to post
Заражение маловероятно, шифрование файлов в расшаренных папках почти 100%-но, если шифровальщик умеет работать по сети.

Что KIS, что KTS без разницы.

 

Защита от этого есть только у Kaspersky Security для Windows Server:

http://support.kaspersky.ru/12652

 

Если в настройках KIS как сейчас указано добавить в категорию защищаемые файлы путь к сетевой папке с общим доступом, это даст какой-либо эффект?

Share this post


Link to post
Антивирус должен фиксировать подозрительную активность, независимо с какой стороны она приходит.

Неверно. Если шифровальщик работает по сети, но на вашем компьютере нет приложения, активность которого должен контролировать КИС. Он контролирует активность программ, а раз программы нет, то нечего и контролировать.

 

Смотрю описание серверного антивируса - там защита от шифровальщиков осуществлена через тот же модуль "мониторинг системы", что и в KIS.

Название одно одно, а модули разные.

Share this post


Link to post
Название одно одно, а модули разные.

 

так там и настройка одинаковая - через создание категории защищенные файлы и указания путей к папкам и типам файлов

Share this post


Link to post

Серверный продукт не смотрел, но в КИС в мониторинге активности нет создания категорий и типов файлов.

Там всей настройки - включить/выключить и выбор типа действия при обнаружении подозрительной активности.

Вы путаете с контролем программ.

На сервере другое.

Share this post


Link to post
Еще раз по структуре заражения объясните плиз. По кейсу: в локальной сети 5 машин. На 4 стоит KIS, на 1 не стоит. На незащищенном ловят шифровальщика, поразит ли он по сети файлы в сетевых папках остальных машин. Папки локально расположены на защищенных машинах и к ним открыт общий доступ. Возможно ли заражение этих машин?

Поразит, если у пользователя, который имеет доступ к общей папке есть права на запись. При этом откат уже зашифрованных файлов произведен не будет, т.к. источником заражения служит машина, которая не имеет антивируса.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.