Jump to content

Recommended Posts

Установлен KS4WS10.1 Fix1. Имеем две проблемы:

1. Частые ложные срабатывания защиты от шифрования с последующей блокировкой удаленного компьютера. Причем происходит это всегда, когда пользователи редактируют файлы Excel на сетевом ресурсе (всегда разные). На других файлах срабатываний вообще нет. В политике уровень эвристики стоит "Глубокий". Что еще нужно сделать, чтобы ложных срабатываний не было? Отключать эту защиту или исключать эти файлы крайне не хотелось бы.

2. При блокировке компьютера создается событие "Компьютер добавлен в список недоверенных" а вместо имени компьютера - IP адрес 2 раза . При разблокировке по истечении времени создается событие "Компьютер удален из списка недоверенных" а вместо имени компьютера - не понятно что "0-21b362db". Можно ли в этих событиях писать нормальные имена компьютеров? Это явно баг.

Share this post


Link to post
2 часа назад, Aragon30 сказал:

1. Частые ложные срабатывания защиты от шифрования с последующей блокировкой удаленного компьютера. Причем происходит это всегда, когда пользователи редактируют файлы Excel на сетевом ресурсе (всегда разные). На других файлах срабатываний вообще нет. В политике уровень эвристики стоит "Глубокий". Что еще нужно сделать, чтобы ложных срабатываний не было? Отключать эту защиту или исключать эти файлы крайне не хотелось бы.

Попробуйте с патчем Core2: https://box.kaspersky.com/d/12f3ce0b8e/

Если не поможет, то соберите, пожалуйста, трейсы продукта в момент срабатывания эвристики - посмотрим, что там не так.

2 часа назад, Aragon30 сказал:

2. При блокировке компьютера создается событие "Компьютер добавлен в список недоверенных" а вместо имени компьютера - IP адрес 2 раза . При разблокировке по истечении времени создается событие "Компьютер удален из списка недоверенных" а вместо имени компьютера - не понятно что "0-21b362db". Можно ли в этих событиях писать нормальные имена компьютеров? Это явно баг.

О каких событиях речь - локальных или в KSC? Если в KSC, то посмотрите, пожалуйста, что видно в локальных отчётах.

0-21b362db - это LUID Logon-сессии пользователя на этом компьютере. Теоретически с помощью EventLog можно самостоятельно перевести этот LUID в IP-адрес/има компьютера, но согласен с Вами, что это баг.

Share this post


Link to post
39 минут назад, Oleg Bykov сказал:

Попробуйте с патчем Core2: https://box.kaspersky.com/d/12f3ce0b8e/

Если не поможет, то соберите, пожалуйста, трейсы продукта в момент срабатывания эвристики - посмотрим, что там не так.

О каких событиях речь - локальных или в KSC? Если в KSC, то посмотрите, пожалуйста, что видно в локальных отчётах.

Core2 установил, будем наблюдать с ним. Трейсы собрать будет сложно, потому что последнее время ложная блокировка возникала 1-2 раза в неделю и вызвать её принудительно у меня не получилось.

Локальную консоль мы не ставим. События видно так:

Clipboard01.thumb.jpg.97dd8227643babd6a7960e5533fb417e.jpg

Share this post


Link to post
1 час назад, Aragon30 сказал:

Core2 установил, будем наблюдать с ним. Трейсы собрать будет сложно, потому что последнее время ложная блокировка возникала 1-2 раза в неделю и вызвать её принудительно у меня не получилось.

Можно включить трассировку с уровнем "Важные события" (а не то, что по умолчанию - "Отладочные события", что ли). Тогда файлы с трассировкой будут занимать мало места, но вся информация по АнтиКриптору там будет.

1 час назад, Aragon30 сказал:

Локальную консоль мы не ставим. События видно так:

А есть возможность поставить и посмотреть? Это бы нам ускорило разбирательство.

Share this post


Link to post

Поставил локальную консоль. Текст событий полностью идентичен KSC. Вот события:

849596236_01.jpg.d7c631f3d51837a16965b3b11de81fa7.jpg

334014221_02.jpg.4577dc684bcaad7ce4f99b0e4b51c1ac.jpg

Edited by Aragon30

Share this post


Link to post

Тоже самое, только в ksws10.0. А где исключения для защиты от шифрования прописать? В доверенной зоне в области применения правила нет защиты от шифрования.

Или ставить 10.1 и проверять?

Share this post


Link to post

Желательно обновить до актуальной версии и дополнительно установить последний патч.

Спасибо!

Share this post


Link to post

Есть такая же проблема с KSWS 10.1 :(

Блокирует пользователей, работающих с файлами ЭЦП .sig и некоторых. работающих с .xml

В основном, бухгалтерия.

Share this post


Link to post

Здравствуйте. Тоже KSWS 10.1 блокировал ЭЦП .sig, пришлось вносить эти файлы в исключение.

Share this post


Link to post
В 23.05.2018 в 13:25, Oleg Bykov сказал:

Попробуйте с патчем Core2: https://box.kaspersky.com/d/12f3ce0b8e/

а когда выйдет официально core2 и сборка с интегрированными исправлениями core1 и core2?

Share this post


Link to post
4 часа назад, tyazhelnikov сказал:

Здравствуйте. Тоже KSWS 10.1 блокировал ЭЦП .sig, пришлось вносить эти файлы в исключение.

Аналогично.

Еще не дает вносить исключения по расширению файла, только по конкретным путям до папки. Или есть какой-то способ именно расширение .sig исключить?

 

 

Еще есть вопрос к ЛК - патч Core2 включает в себя Core1? Я установил на проблемный файловый сервер Core2. Надо еще Core1?... Он установится?

 

Share this post


Link to post
Цитата

Еще не дает вносить исключения по расширению файла, только по конкретным путям до папки. Или есть какой-то способ именно расширение .sig исключить?

Почему не дает? вроде были такие проблемы, но они решаются последней версией плагина управления. 10.1.0.636. у меня в исключениях указано *.sig

Share this post


Link to post
1 час назад, purple_rain сказал:

Еще есть вопрос к ЛК - патч Core2 включает в себя Core1? Я установил на проблемный файловый сервер Core2. Надо еще Core1?... Он установится?

Да, все наши патчи включают в себя все предыдущие. Core1 можно не ставить, если есть Core2.

5 часов назад, Coliseum сказал:

а когда выйдет официально core2 и сборка с интегрированными исправлениями core1 и core2?

Core2 - это промежуточный патч, мы сейчас делаем Core3 - вот он будет уже выпущен "официально" (через статью в KB).

Core2 доступен по запросу в Support, он тоже официальный (без кавычек).

Share this post


Link to post
6 часов назад, purple_rain сказал:

Есть такая же проблема с KSWS 10.1 :(

Блокирует пользователей, работающих с файлами ЭЦП .sig и некоторых. работающих с .xml 

*.sig нужно добавить в исключения - работа с ними похожа на деятельность шифровальщика, поэтому обнаруживается АнтиКриптором. А насчёт XML - можно посмотреть трейсы продукта со срабатыванием на нём?

Share this post


Link to post

Где можно скачать плагин 10.1.0.636 ?

Везде выложена версия 622. А без 636 все-таки не дает добавить по маске *.sig

И еще такая есть проблема с установкой патчей Core. Пока действует политика пароля на KSWS, патчи не устанавливаются - выдают, что пароль не верен. При этом ввести пароль при установке нигде не просит. Помогает только временное выключение пароля в политике.

Edited by purple_rain

Share this post


Link to post
2 часа назад, purple_rain сказал:

Где можно скачать плагин 10.1.0.636 ?

Везде выложена версия 622. А без 636 все-таки не дает добавить по маске *.sig

И еще такая есть проблема с установкой патчей Core. Пока действует политика пароля на KSWS, патчи не устанавливаются - выдают, что пароль не верен. При этом ввести пароль при установке нигде не просит. Помогает только временное выключение пароля в политике.

Новый плагин:  https://support.kaspersky.ru/14496#block3

Установка патчей  Core при парольной защите делается так:

 

Share this post


Link to post

Большое всем спасибо!

*.sig исключил, на проблемные сервера поставил Core2, на остальные подожду "официального" Core3 :)

Edited by purple_rain

Share this post


Link to post

Отмечусь для информации. Те-же проблемы с ложным срабатыванием модуля "защита от шифрования" на KSWS10.1 c установленным Core1  (kb14306). Сетевую файловую активность пользователей выборочно определяет как попытку шифрования. Вердикты при этом эвристические:  HEUR:Trojan.Multi.Crypren.gen, HEUR:Trojan.Multi.Crypmod.gen, HEUR:Generic.Unknown.Cryptor и т.п.

Share this post


Link to post
В 29.05.2018 в 14:18, Oleg Bykov сказал:

*.sig нужно добавить в исключения...

Добрый день. А есть другие рекомендации, что в исключения добавлять ? У меня например часто детекты на архивы.

Share this post


Link to post
В ‎31‎.‎05‎.‎2018 в 10:10, purple_rain сказал:

Большое всем спасибо!

*.sig исключил, на проблемные сервера поставил Core2, на остальные подожду "официального" Core3 :)

Кстати, вышел Core4 - пока не очень широко (через пару недель положим в KB, если всё будет нормально). Можете запросить в поддержке.

Он должен улучшить ситуацию с АнтиКриптором.

3 часа назад, dvz сказал:

Добрый день. А есть другие рекомендации, что в исключения добавлять ? У меня например часто детекты на архивы.

Добрый.

Рекомендация касалась только файлов *.sig. Для рекомендаций по всему остальному нужны трейсы антивируса в момент воспроизведения детекта.

Но если у Вас версия 10.1, то рекомендую для начала запросить патч Core4 и проверить, не улучшает ли он ситуацию.

Share this post


Link to post

У меня после установки Core2 прошло 3 недели и ложных срабатываний больше ни разу не было.

Share this post


Link to post
В 13.06.2018 в 16:38, Oleg Bykov сказал:

Но если у Вас версия 10.1, то рекомендую для начала запросить патч Core4 и проверить, не улучшает ли он ситуацию.

А можно Core 4 получить. Заявка уже закрыта. Хочется получить кумулятивный патч, который можно сразу же интегрировать в установку KSWS 10.1 и распространить на серверы.

Share this post


Link to post
1 час назад, B_BOY_MIG сказал:

А можно Core 4 получить. Заявка уже закрыта. Хочется получить кумулятивный патч, который можно сразу же интегрировать в установку KSWS 10.1 и распространить на серверы.

Запросите core4 через новый инцидент.

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.