Evgeny_E Posted January 16, 2018 yurasek Подробно опишете сценарий вместе с айпишниками, откуда запускается и открывается , вместе с примерными таймингами, соберите трейсы с клиента шары, и с сервера шары. Share this post Link to post
yurasek Posted January 17, 2018 Здравствуйте, Евгений. Под "трейсами" подразумевается трассировка? Какой смысл собирать "трейсы с клиента шары", ведь для "сервера шары" с установленным KES 11 он должен представлять из себя "чёрный ящик", или на источнике внешнего шифрования обязательно должно быть установлено антивирусное решение? Почему той информации, которая мной была ранее неоднократно собрана не достаточно? Вы пробовали воспроизвести мой сценарий? Share this post Link to post
Evgeny_E Posted January 17, 2018 yurasek Здравствуйте. Под трейсами подразумевается трассировка. В случае исследования проблемы избыточная информация позволяет точнее отслеживать события. С новой информацией и привязкой к временной шкале точнее будет воспроизведена проблема. Share this post Link to post
Maratka Posted February 10, 2018 В 31.12.2017 в 13:19, Maratka сказал: Хотя нет, проверил... Локально активность перехватывается, хотя отката я так и не увидел (допускаю, что минут за пять он не успел произойти, хотя обычно ему хватает куда как меньше времени), а вот с сетевой папкой проблемы... В 12.01.2018 в 16:25, Maratka сказал: Мне кто-то может объяснить, описанные мною нюансы поведения задокументированы? Bug 2542685 - в него попадает недетект шифрования файлов на сетевом диске? Очень хорошо! Тогда в какую багу попадает отсутствие отката зашифрованных файлов на локальном диске? Извиняюсь за дурацкий вопрос: Оно таки задокументировано? Оно уже починенено (есть смысл проверять или нет?) Если не починено - к августу 2020 года надеюсь очередь дойдет? Share this post Link to post
Evgeny_E Posted February 11, 2018 Maratka Добрый день. В 10.02.2018 в 15:16, Maratka сказал: Оно таки задокументировано? Оно уже починенено (есть смысл проверять или нет?) Прошу точнее сформулировать вопрос, что вы подразумеваете под местоимением "Оно" ? Share this post Link to post
Maratka Posted February 11, 2018 (edited) Выше я по моему скромному мнению описал все куда как более доступно. Тем не менее, повторюсь, на случай, если вдруг что-то непонятно из того, что я написал выше: Есть две тачики, "А" и "Б" На "А" работает малвара. На "Б" есть расшаренная папка с документами На "Б" есть KES11 На "А" есть гулькин хрен (уж прощу прощения за терминологию) _________ Итого, малвара, работающая на "А" меняет (по сути - шифрует, методом инвертирования а-ля "1234qwe >> ewq4321") документы MS-Office, физически находящиеся на "Б", в расшаренном каталоге. Антивирус, уставленный на "Б" делает вид, что все зашибись. Эта же малвара, но изменяющая файлы на тачке "А" (естественно при установке KES 11 на тачку "А") детектируется поведенческим анализатором (SW), правда без отката измененных файлов (т.е. что успели изменить -то и флаг малваре в руки, а если чего не успели - то антивирус молодец). Итого, две баги: 1) На недетект изменений по сети 2) На неоткат локальных изменений. Evgeny_E, это понятно? Edited February 11, 2018 by Maratka Share this post Link to post
Maratka Posted March 9, 2018 Спрошу пожалуй еще разок: описанные выше сценарий понятен? Он исправлен в базах SW, новых модулях, или не исправлен вовсе? Share this post Link to post
Evgeny_E Posted March 10, 2018 Добрый день. По описанному вами сценарию при включенном функционале "включить защиту папок общего доступа от внешнего шифрования", на компьютере где установлен KES11, SystemWatcher откатит активность шифровальщика. Если у вас есть демонстрация отличного от описанного поведения, нужно будет собрать диагностические данные для анализа поведения разработчиками. Share this post Link to post
Maratka Posted March 10, 2018 (edited) 8 часов назад, Evgeny_E сказал: Если у вас есть демонстрация отличного от описанного поведения, нужно будет собрать диагностические данные для анализа поведения разработчиками. Приятно работать! Трех месяцев не прошло, а уже вопрос по существу! __________ Итого, какие данные нужны? p.s. Веронику Танаеву нельзя попросить заглянуть в эту тему? У меня с ней вопросы как-то быстрее решались, по крайней мере в прошлом и позапрошлых годах. Edited March 10, 2018 by Maratka Share this post Link to post
Evgeny_E Posted March 10, 2018 Maratka 25 минут назад, Maratka сказал: Итого, какие данные нужны? На компьютере где размещен KES и открыт доступ к файлам: https://support.kaspersky.ru/common/diagnostics/10935#block1 Журнал работы Process Monitor Трассировка работы KES 11 с перезапуском программы. https://support.kaspersky.ru/9343#block2 Экспорт настроек или политика KES 11. Полный GSI отчет. Детальное описание воспроизведения проблемы. Share this post Link to post