Jump to content
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале! ×
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале!
Sign in to follow this  
Followers 0
yurasek

Защита папок общего доступа от внешнего шифрования

By yurasek, in Проверка файлов и трафика KES11

Recommended Posts

Evgeny_E   

Evgeny_E
Posted

yurasek 

Подробно опишете сценарий вместе с айпишниками, откуда запускается и открывается , вместе с примерными таймингами, соберите трейсы с клиента шары, и с сервера шары.

Share this post

Link to post

yurasek   

yurasek
Posted

Здравствуйте, Евгений.

Под "трейсами" подразумевается трассировка?

Какой смысл собирать "трейсы с клиента шары", ведь для "сервера шары" с установленным KES 11 он должен представлять из себя "чёрный ящик", или на источнике внешнего шифрования обязательно должно быть установлено антивирусное решение?

Почему той информации, которая мной была ранее неоднократно собрана не достаточно?

Вы пробовали воспроизвести мой сценарий?

Share this post

Link to post

Evgeny_E   

Evgeny_E
Posted

yurasek 

Здравствуйте.

Под трейсами подразумевается трассировка. 

В случае исследования проблемы избыточная информация позволяет точнее отслеживать события. 

С новой информацией и привязкой к временной шкале точнее будет воспроизведена проблема. 

Share this post

Link to post

Maratka   

Maratka
Posted
В 31.12.2017 в 13:19, Maratka сказал:

Хотя нет, проверил... Локально активность перехватывается, хотя отката я так и не увидел (допускаю, что минут за пять он не успел произойти, хотя обычно ему хватает куда как меньше времени), а вот с сетевой папкой проблемы...

 

В 12.01.2018 в 16:25, Maratka сказал:

Мне кто-то может объяснить, описанные мною нюансы поведения задокументированы?
Bug 2542685  - в него попадает недетект шифрования файлов на сетевом диске? Очень хорошо! Тогда в какую багу попадает отсутствие отката зашифрованных файлов на локальном диске?

Извиняюсь за дурацкий вопрос:
Оно таки задокументировано?
Оно уже починенено (есть смысл проверять или нет?)

Если не починено - к августу 2020 года надеюсь очередь дойдет?

Share this post

Link to post

Evgeny_E   

Evgeny_E
Posted

Maratka 

Добрый день. 

В 10.02.2018 в 15:16, Maratka сказал:

Оно таки задокументировано?
Оно уже починенено (есть смысл проверять или нет?)

Прошу точнее сформулировать вопрос, что вы подразумеваете под местоимением "Оно" ? 

Share this post

Link to post

Maratka   

Maratka
Posted (edited)

Выше я по моему скромному мнению описал все куда как более доступно.

Тем не менее,  повторюсь, на случай, если вдруг что-то непонятно из того, что я написал выше:

 Есть две тачики, "А" и "Б"
На "А" работает малвара.
На "Б" есть расшаренная папка с документами
На "Б" есть KES11
На "А" есть гулькин хрен (уж прощу прощения за терминологию)

_________
Итого, малвара, работающая на "А" меняет (по сути - шифрует, методом инвертирования а-ля "1234qwe >> ewq4321") документы MS-Office, физически находящиеся на "Б", в расшаренном каталоге.
Антивирус, уставленный на "Б" делает вид, что все зашибись.

Эта же малвара, но изменяющая файлы на тачке "А" (естественно при установке KES 11 на тачку "А") детектируется поведенческим анализатором (SW), правда без отката измененных файлов (т.е. что успели изменить -то и флаг малваре в руки, а если чего не успели - то антивирус молодец).

 

Итого, две баги:
1) На недетект изменений по сети
2) На неоткат локальных изменений.

Evgeny_E, это понятно?

 

Edited by Maratka

Share this post

Link to post

Maratka   

Maratka
Posted

Спрошу пожалуй еще разок: описанные выше сценарий понятен?
Он исправлен в базах SW, новых модулях, или не исправлен вовсе?

Share this post

Link to post

Evgeny_E   

Evgeny_E
Posted

Добрый день. 

По описанному вами сценарию при включенном функционале "включить защиту папок общего доступа от внешнего шифрования", на компьютере где установлен KES11, SystemWatcher откатит активность шифровальщика.

Если у вас есть демонстрация отличного от описанного поведения, нужно будет собрать диагностические данные для анализа поведения разработчиками.

Share this post

Link to post

Maratka   

Maratka
Posted (edited)
8 часов назад, Evgeny_E сказал:

Если у вас есть демонстрация отличного от описанного поведения, нужно будет собрать диагностические данные для анализа поведения разработчиками.

Приятно работать! Трех месяцев не прошло, а уже вопрос по существу!

__________
Итого, какие данные нужны?

p.s.
Веронику Танаеву нельзя попросить заглянуть в эту тему?
У меня с ней вопросы как-то быстрее решались, по крайней мере в прошлом и позапрошлых годах.

Edited by Maratka

Share this post

Link to post

Evgeny_E   

Evgeny_E
Posted

Maratka 

25 минут назад, Maratka сказал:

Итого, какие данные нужны?

На компьютере где размещен KES и открыт доступ к файлам: 

https://support.kaspersky.ru/common/diagnostics/10935#block1 Журнал работы Process Monitor 

Трассировка работы KES 11 с перезапуском программы. https://support.kaspersky.ru/9343#block2 

Экспорт настроек или политика KES 11. 

Полный GSI отчет. 

Детальное описание воспроизведения проблемы.

 

 

Share this post

Link to post
Sign in to follow this  
Followers 0
Go To Topic Listing
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.

  I accept